Ян Кум опроверг заявление Артема Сытника, что СБУ может «снимать информацию» с WhatsApp

5406
9

В прошлую среду, 3 марта, издание «Зеркало недели» опубликовало интервью с главой НАБУ (Национальное антикоррупционное бюро Украины) Артемом Сытником, в котором он заявил, что у СБУ есть возможность «снимать» информацию с мессенджеров Viber и WhatsApp. А вчера основатель WhatsApp Ян Кум не поленился и лично опроверг его заявление в Twitter.

В вышеупомянутом интервью украинский чиновник рассказал о начале сотрудничества с ФБР и о возможностях осуществлять прослушивание украинскими правоохранителями. «Снять информацию и с Viber, и с WhatsApp, используя возможности СБУ, — реально», — заявил Сытник, комментируя необходимость обеспечения НАБУ отдельной от СБУ технической возможностью вести прослушивание, на которой в беседе с президентом Украины Порошенко якобы настаивал вице-президент США Байден.

Фото: "Зеркало недели"

Эта фраза быстро разлетелась по уанету, и спустя несколько дней основатель одного из упомянутых Сытником мессенджеров, выходец из Украины Ян Кум написал твит, адресованный непосредственно главе НАБУ:

Специально для Артема Сытника: end-to-end шифрование означает, что никто не может читать чужие личные сообщения.

Мессенджер использует технологию end-to-end шифрования с 2014 года. Мессенджер Telegram начал использовать эту технологию раньше, что позволяло его основателю Павлу Дурову нелестно высказываться в сторону конкурента. Суть технологии в том, что зашифрованная информация передается от устройства к устройству напрямую, без участия сервера, и расшифровать сообщение может только устройство получателя. То есть сам сервис не «видит» ваши сообщения и не сможет раскрыть их содержимое даже по требованию спецслужб. Только участники переписки будут иметь к ней доступ.

Впрочем, в интервью «Зеркалу недели» Сытник не уточнил, какими конкретно средствами СБУ может «снимать» информацию с двух самых популярных мессенджеров. Вынос сервера тут не поможет, но, например, конфискация мобильного устройства может оказаться эффективной.

Напомним, Ян Кум поддержал главу Apple в конфронтации с ФБР. Компания отказалась выполнять требования ФБР и создавать специальную версию iOS, более уязвимую для взлома. И основатель WhatsApp горячо поддержал это решение.

Оставить комментарий

Комментарии | 9

  • Основная уязвимость протокола, который использует WhatsApp — в необходимости как-то подтверждать подлинность ключей обоих корреспондентов, чтобы избежать man-in-the-middle attack (например, атаки спецслужбы). Это осуществляется за счет «comparing key fingerprints out-of-band».
    Я не знаю детально, как это реализовано (нужно достаточно долго разбираться), но именно здесь может быть дыра (из-за ошибок реализации, из-за концептуальных ошибок протокола), которой и могут воспользоваться спецслужбы или сам WhatsApp (чтобы читать сообщения своих клиентов, если его попросит АНБ).
    Я сейчас поискал какое-нибудь хорошее детальное описание процесса шифрования в WhatsApp и ничего толкового не нашел, за исключением того, что вроде бы используется какая-то модификация протокола TextSecure. Отсутствие подробного описания на первый взгляд дает дополнительную защиту (подобно тайнописи), но затрудняет анализ и поиск ошибок. Вроде бы там жестко зашит AES (в отличие от других протоколов, где метод шифрования выбирается на стадии рукопожатия). С одной стороны это неплохо, а с другой — дает дополнительные возможности для взлома для АНБ (которое с большой вероятностью является обладателем метода взлома для AES).

    • Я так и не понял, дыра в самом протоколе или в процессе передачи данных?

      • Известной дыры нет. Ни о чём. Из серии «а доедет ли это колесо до Казани?»

        • Кстати, если Вы действительно глубоко разбираетесь в вопросе в отличие от меня, то может подскажите ссылку на нормальное описание протокола аутентификации в WhatsApp? Мне для дипломника нужно для аналитической/обзорной части записки (дипломная работа у него по Telegram).

      • Дыры могут быть и там и там.
        С аутентификацией тут вообще концептуальная проблема. Кто-то должен подтвердить, что я устанавливаю связь (вырабатываю ключ сеанса) именно с тем человеком, за которого он себя выдает. Для этого кто-то должен подтвердить, что его открытый ключ действительно принадлежит ему. Кто это подтвердит? Доверенный сервер? Какая-то распределенная система подтверждения? В зависимости от вариантов тут будут те или иные слабости, но обязательно будут.

        • Signal использует простой способ: можно просто посмотреть свой публичный ключ и публичный ключ адресата и тупо сравнить их. Хоть смотря на телефоны друг друга, хоть по другому каналу связи

  • Особенно заметны профессиональные действия СБУ в этой статье — http://ain.ua/2016/01/05/623081
    То есть, это то самое СБУ, которое не может определить на чьих серверах (и вообще, в чьей юрисдикции) расположены сепаратистские ресурсы, поэтому они приходят в первый попавшийся DATA-центр и изымают всё подряд? Абу Ясин Ата ибн Халиль ибн Ахмад ибн Абдулькадир Аль-Хатиб Абу Рашта, избавь тело столь умных людей от глупого языка женщины. 🙂

  • У нас самые лучшие специалисты, сначала бы мат. часть учили, а потом уже говорили глупости.

  • я не использую Вотсап, но теоретически в этом мессенджере реализован хороший, надёжный алгоритм шифрования. Они там молодцы, не стали изобретать лисапед, а обратились к хорошо зарекомендовавшим себя OpenWhisper Systems — это очень хороший знак. Конечно, могут быть нюансы (например, может быть, что WhatsApp имеет возможность тупо отключить шифрование для отдельных пользователей), но в целом считаю, что Вотсап надёжен несмотря на заявления Сытника

Поиск