Ян Кум опроверг заявление Артема Сытника, что СБУ может «снимать информацию» с WhatsApp
В прошлую среду, 3 марта, издание «Зеркало недели» опубликовало интервью с главой НАБУ (Национальное антикоррупционное бюро Украины) Артемом Сытником, в котором он заявил, что у СБУ есть возможность «снимать» информацию с мессенджеров Viber и WhatsApp. А вчера основатель WhatsApp Ян Кум не поленился и лично опроверг его заявление в Twitter.
В вышеупомянутом интервью украинский чиновник рассказал о начале сотрудничества с ФБР и о возможностях осуществлять прослушивание украинскими правоохранителями. «Снять информацию и с Viber, и с WhatsApp, используя возможности СБУ, — реально», — заявил Сытник, комментируя необходимость обеспечения НАБУ отдельной от СБУ технической возможностью вести прослушивание, на которой в беседе с президентом Украины Порошенко якобы настаивал вице-президент США Байден.
Эта фраза быстро разлетелась по уанету, и спустя несколько дней основатель одного из упомянутых Сытником мессенджеров, выходец из Украины Ян Кум написал твит, адресованный непосредственно главе НАБУ:
Специально для Артема Сытника: end-to-end шифрование означает, что никто не может читать чужие личные сообщения.
Мессенджер использует технологию end-to-end шифрования с 2014 года. Мессенджер Telegram начал использовать эту технологию раньше, что позволяло его основателю Павлу Дурову нелестно высказываться в сторону конкурента. Суть технологии в том, что зашифрованная информация передается от устройства к устройству напрямую, без участия сервера, и расшифровать сообщение может только устройство получателя. То есть сам сервис не «видит» ваши сообщения и не сможет раскрыть их содержимое даже по требованию спецслужб. Только участники переписки будут иметь к ней доступ.
Впрочем, в интервью «Зеркалу недели» Сытник не уточнил, какими конкретно средствами СБУ может «снимать» информацию с двух самых популярных мессенджеров. Вынос сервера тут не поможет, но, например, конфискация мобильного устройства может оказаться эффективной.
Напомним, Ян Кум поддержал главу Apple в конфронтации с ФБР. Компания отказалась выполнять требования ФБР и создавать специальную версию iOS, более уязвимую для взлома. И основатель WhatsApp горячо поддержал это решение.
Команда AIN.UA спільно з фондом Group 35 збирає 608 800 грн на мобільний діджитал-штаб для підрозділу 148 ОБР ДШВ. Штаб інтегрує системи роботизованої аеророзвідки та передає стріми на відеостіну. Це дозволяє командуванню ефективніше планувати операції, зберігаючи життя захисників та захисниць, і збільшуючи шанси місій на успіх. Більше деталей у Facebook AIN.UA.
Комментарии | 9
Основная уязвимость протокола, который использует WhatsApp — в необходимости как-то подтверждать подлинность ключей обоих корреспондентов, чтобы избежать man-in-the-middle attack (например, атаки спецслужбы). Это осуществляется за счет «comparing key fingerprints out-of-band».
Я не знаю детально, как это реализовано (нужно достаточно долго разбираться), но именно здесь может быть дыра (из-за ошибок реализации, из-за концептуальных ошибок протокола), которой и могут воспользоваться спецслужбы или сам WhatsApp (чтобы читать сообщения своих клиентов, если его попросит АНБ).
Я сейчас поискал какое-нибудь хорошее детальное описание процесса шифрования в WhatsApp и ничего толкового не нашел, за исключением того, что вроде бы используется какая-то модификация протокола TextSecure. Отсутствие подробного описания на первый взгляд дает дополнительную защиту (подобно тайнописи), но затрудняет анализ и поиск ошибок. Вроде бы там жестко зашит AES (в отличие от других протоколов, где метод шифрования выбирается на стадии рукопожатия). С одной стороны это неплохо, а с другой — дает дополнительные возможности для взлома для АНБ (которое с большой вероятностью является обладателем метода взлома для AES).
Я так и не понял, дыра в самом протоколе или в процессе передачи данных?
Известной дыры нет. Ни о чём. Из серии «а доедет ли это колесо до Казани?»
Кстати, если Вы действительно глубоко разбираетесь в вопросе в отличие от меня, то может подскажите ссылку на нормальное описание протокола аутентификации в WhatsApp? Мне для дипломника нужно для аналитической/обзорной части записки (дипломная работа у него по Telegram).
Дыры могут быть и там и там.
С аутентификацией тут вообще концептуальная проблема. Кто-то должен подтвердить, что я устанавливаю связь (вырабатываю ключ сеанса) именно с тем человеком, за которого он себя выдает. Для этого кто-то должен подтвердить, что его открытый ключ действительно принадлежит ему. Кто это подтвердит? Доверенный сервер? Какая-то распределенная система подтверждения? В зависимости от вариантов тут будут те или иные слабости, но обязательно будут.
Signal использует простой способ: можно просто посмотреть свой публичный ключ и публичный ключ адресата и тупо сравнить их. Хоть смотря на телефоны друг друга, хоть по другому каналу связи
Особенно заметны профессиональные действия СБУ в этой статье — http://ain.ua/2016/01/05/623081
То есть, это то самое СБУ, которое не может определить на чьих серверах (и вообще, в чьей юрисдикции) расположены сепаратистские ресурсы, поэтому они приходят в первый попавшийся DATA-центр и изымают всё подряд? Абу Ясин Ата ибн Халиль ибн Ахмад ибн Абдулькадир Аль-Хатиб Абу Рашта, избавь тело столь умных людей от глупого языка женщины. 🙂
У нас самые лучшие специалисты, сначала бы мат. часть учили, а потом уже говорили глупости.
я не использую Вотсап, но теоретически в этом мессенджере реализован хороший, надёжный алгоритм шифрования. Они там молодцы, не стали изобретать лисапед, а обратились к хорошо зарекомендовавшим себя OpenWhisper Systems — это очень хороший знак. Конечно, могут быть нюансы (например, может быть, что WhatsApp имеет возможность тупо отключить шифрование для отдельных пользователей), но в целом считаю, что Вотсап надёжен несмотря на заявления Сытника