Что такое сквозное шифрование
Что такое сквозное шифрование? Типы шифрования информации.
Когда вы общаетесь со своим другом или близким вам человеком в сети, сообщения, которые вы вводите, проходят длинный путь и на нем может многое случиться. Сквозное шифрование — это один из способов защиты ваших данных.
Что такое шифрование?
Шифрование — это такая кодировка сообщения при которой его может расшифровать только адресат. Шифровальное программное обеспечение превращает ваше сообщение в неразборчивую последовательность символов. Даже если кто-то получит ваше сообщение, он не сможет получить доступ к зашифрованным данным, если у него не будет ключа. Шифрование военного уровня практически невозможно взломать, поскольку оно использует 256-битные ключи, которые генерируют 2 256 возможных комбинаций. Пока еще нет такого суперкомпьютера, который мог бы взломать такой ключ даже за несколько лет.
Типы шифрования
Асимметричное шифрование — использует более продвинутый и безопасный метод для защиты данных. В этом случае, два ключа шифруют ваше сообщение — открытый и закрытый ключ. Открытый ключ является одинаковым как для отправителя, так и для получателя, в то время как закрытый ключ является уникальным для каждой из сторон. Это означает, что оба участника не знают секретного ключа друг друга.
В этом случае только человек с закрытым и открытым ключами может получить доступ к сообщению. Если сообщение попадает в чужие руки при передаче, перехватчик не сможет получить к нему доступ, даже если у него есть открытый ключ. Расшифровать его может только человек, который обладает уникальным секретным ключом.
Хотя этот тип шифрования более совершенен, чем симметричное шифрование, оно все равно оставляет обе конечные точки незащищенными. Если злоумышленники взломают любое из участвующих устройств и украдут оба ключа, они смогут получить доступ к вашим данным.
Что такое сквозное шифрование?
Сквозное шифрование (E2EE) шифрует ваше сообщение на протяжении всего его пути между двумя конечными точками. Оно остается зашифрованным во время транспортировки через промежуточные серверы, и ни поставщик услуг, ни ваш провайдер, ни любая третья сторона не может получить к нему доступ.
Без E2EE ваше сообщение шифруется, как только доходит до центрального сервера, который расшифровывает его. Таким образом, объект, управляющий этими серверами (например, провайдер услуг интернет), может видеть ваши сообщения. Однако, если вы используете VPN, этот тип соединения намного безопаснее, поскольку VPN служба шифрует ваш трафик и изменяет ваш IP. Тогда вы сможете безопасно и конфиденциально пройти через все промежуточные точки.
Как реализовать сквозное шифрование?
Вы можете реализовать шифрование E2EE самостоятельно, но это довольно сложная процедура. В противном случае просто убедитесь, что программное обеспечение или служба, которую вы используете, имеет эту функцию и включите ее для более безопасной связи. Это особенно важно, если вы обрабатываете конфиденциальную информацию, такую как банковские данные или личные данные.
E2EE играет значительную роль в безопасных приложениях для обмена мгновенными сообщениями. Существует множество приложений для безопасного обмена сообщениями с E2EE, но они не очень распространены. Кроме того, в некоторых системах, таких как Telegram или FB messenger, он не включен по умолчанию, поэтому вам нужно включить его самостоятельно.
На видео: Принцип работы сквозного шифрования
E2EE также необходим для защиты вашей электронной почты.
Несмотря на эти потенциальные уязвимости, E2EE по-прежнему является одним из самых надежных инструментов для обеспечения конфиденциальности и безопасности. По возможности рекомендуется использовать приложения с E2EE.
Тем не менее, вы все равно не должны забывать о распространенной практике защиты в интернете, таких как предотвращение подозрительных вложений, электронной почты, скачивания, постоянное обновление антивирусного и антивирусного ПО с помощью надежного VPN сервиса. Хотя VPN не использует технологию E2EE, но он обеспечивает безопасность через защищенные серверы и зашифрованный трафик.
О сквозном шифровании
Безопасность в современном интернет-пространстве является одной из самых важных сфер. Наличие качественной защиты не позволит злоумышленникам получить конфиденциальные данные.
Что такое сквозное шифрование
Сквозное шифрование («End-to-end шифрование» или «E2EE») – это технология, позволяющая передавать данные таким образом, чтобы доступ к ней имелся только у двух сторон: отправителя и получателя. Фотографии, видео, аудио и текстовая информация – вся она будет защищена от доступа третьим лицам.
Внимание! Часто встречается термин оконечное шифрование, что по сути то же самое, что и сквозное.
Ключ доступа имеется только у отправителя и отправляющего, даже сам владелец приложения или сервиса, где используется сквозное шифрование, не имеет возможности получить информацию из сообщений. Совершенство современного способа шифрования подразумевает, что даже если злоумышленник сможет перехватить информацию, то взломать ее все равно будет невозможно.
В качестве альтернативного примера шифрования можно привести SSL, являющегося одним из возможных методов защиты на сайтах, адресная строка которых начинается с https (не путать с http – незащищенным подключением). Но SSL имеет один большой минус – ключ есть не только у участников переписки, но и у сайта – он хранится на их сервере. Из-за этого злоумышленник, который получит доступ к ключу, хранящемуся на сервере, сможет осуществить успешную попытку взлома.
Вывод! Сквозное шифрование исключает из цепочки уязвимое звено, предоставляя ключи к информации только для участников переписки.
Обмен ключами
Ключи переписки доступны только ее участникам. Для обмена ключами используется один из алгоритмов: симметричный и асимметричный. В некоторых случаях дополнительно используется разделение секрета или иные протоколы, позволяющие разделить ключи переписки.
Симметричный алгоритм («симметричное шифрование» или «symmetric-key algorithm») подразумевает использование одного ключа для каждого участника переписки. Используется таким алгоритмом, как DES.
Асимметричный алгоритм подразумевает использование двух ключей. Первый – приватный, а второй – публичный. Приватный ключ всегда остается у отправителя и необходим для расшифровки сообщения. Публичный ключ – для шифрования сообщений. Даже если злоумышленник получит публичный ключ, то с его помощью он только сможет зашифровать собственное сообщение, но не взломать переписку. Такой способ надежнее симметрического алгоритма, но вместе с тем требует больших ресурсов для реализации. Используется таким алгоритмом, как RSA.
Использование
Идея end-to-end была разработана в 1991 году Филиппом Циммерманом, который создал метод защиты данных посредством шифрования Pretty Good Privacy. Улучшение механизмов произошло в 1997 году, когда компания PGP Inc. предложила создать OpenPGP. Открытость опорной системы (исходные коды PGP теперь доступны всем) позволила реализовать GnuPG. По идентичному способу работает современное сквозное шифрование в мессенджерах и электронной почте.
Принципы
Принцип сквозного шифрования – предоставить доступ к информации только участникам переписки. Даже сам сервер, через который передается информация, не сможет получить доступ к сообщениям. Текстовые, видео- и аудио сообщения остаются зашифрованными на устройствах до тех пор, пока они не будут переданы получателю.
Электронная почта
Электронная почта использует для передачи сообщений асинхронный метод. Одним из первых стандартов для такого способа обмена информацией стал протокол SMTP. Изначально он не использовал шифрование сквозным методом, но позже это произошло, благодаря Филиппу Циммерману, создавшему пакет программного обеспечения для PGP, впоследствии ставшим OpenPGP. Последний сейчас отчасти используется в Enigmail и некоторых мобильных приложениях, как IPGMail.
Сервисы электронной почты, которые используют сквозное шифрование для защиты информации:
Мессенджеры
В чат-приложениях используют систему мгновенного обмена сообщений. Раньше все мессенджеры использовали только синхронную передачу данных, но сегодня большинство из них позволяет осуществлять асинхронную доставку сообщений.
Первым проектом, который позволил в последствии мессенджерам использовать сквозное шифрование был Jabber (позднее переименованный в XMPP), разработанный в 1998 году. XMPP вначале не имел системы end-to-end и передаваемая информация не шифровалась, несмотря на то, что для повышения безопасности в него были встроены протоколы SASL и TLS. Протокол XMPP использовался для мгновенного обмена сообщениями, например, в таких системах как Google Talk.
Продолжением XMPP стал протокол OTR, который был улучшен, в том числе было добавлено сквозное шифрование. OTR не хранит открытых ключей в доступе, что не позволяет использовать их в качестве компромата. Минусом такого способа является невозможность использования в групповых чатах, т.к. используется синхронный обмен сообщениями между двумя людьми.
WhatsApp появился в 2009 году, но в тот момент шифрование сообщений не использовалось. Все данные (текстовые сообщения, фото, видео, аудио) передавались при помощи открытого протокола. О безопасности было решено задуматься в 2012 году, тогда была введена система шифрования сообщений еnd-to-end на все типы сообщений и файлов.
Viber
Сквозное шифрование появилось только в 2016 году, хотя само приложение работает с 2010 года.
iMessage
Компания Apple использует двухэтапное шифрование. Первый этап – шифрование комбинации при помощи 128-битного ключа RSA с 128-битным алгоритмом AES. Второй этап – подпись, осуществляемая улучшенным алгоритмом ECDSA. Но вопросы о безопасности такого метода шифрования до сих пор идут, так как даже при потере устройства, на котором установлен мессенджер, компания предоставляет возможность восстановления ключа и получения доступа к сообщениям.
Telegram
Телеграм – нашумевший мессенджер, который в апреле 2018 года было принято блокировать на территории Российской Федерации согласно решению Таганского районного суда Москвы по причине отказа в предоставлении ключей для дешифровки сообщений пользователей.
Телеграм появился в 2013 году. Шифрованием занимается протокол под названием MTProto, который был создан братьями Дуровыми (создателями мессенджера). Протокол состоит из трех компонентов:
Пользователь вправе использовать полностью секретный чат (он работает по всем законам end-to-end), либо позволить серверу видеть данные сообщений.
Непопулярные мессенджеры
Если же пользователь беспокоится о своей безопасности, то ему стоит обратить внимание на:
Все они являются более защищенными, чем популярные способы передачи сообщений. Причиной этого является цель создания – непопулярные мессенджеры создавались с целью предоставления максимальной защиты для пользователей, но по стечению обстоятельств пока не приобрели достаточной известности.
Безопасность и проблемы
Сквозное шифрование – это безопасный способ передачи данных, но нужно понимать, что злоумышленники постоянно ищут способы обхода имеющихся ограничений. Разработчики стараются бороться с нападками, разрабатывая дополнительные технологии и алгоритмы, но ведь в некоторых случаях сами создатели являются источником проблемы, например, Skype и бэкдоры, информация была обнародована в 2013 году.
Атака «человек посередине»
Атака посредника («человек посередине» или «Man in the middle» или «MITM») – вид атаки в криптографии, когда злоумышленник старается выдать себя за получателя информации. Тем самым он обходит защиту. Для того, чтобы не выдать себя, злоумышленник должен после расшифровки сообщения зашифровать его обратно при помощи перехваченного ключа.
Чтобы не позволить злоумышленникам использовать MITM, существует протоколы для аутентификации. Второй метод борьбы – создание отпечатков открытого ключа. Проверка отпечатков позволит определить, не была ли произведена кража информации.
Безопасность конечных точек
Второй способ получения зашифрованной информации – атака на конечные точки доступа, то есть, на устройство, с которого отправляются и на которое приходят сообщения. Способ может дать доступ к самому ключу, либо возможность просто прочитать сообщения. Для защиты каждый пользователь должен обеспечить достаточную безопасность собственного устройства. Самым надежным является физическая изоляция устройства. Так как различные смарт-карты позволяют защитить информацию, но не дают возможность защиты экрана и клавиатуры, что позволяет различным «шпионам» все равно видеть вводимую информацию.
Бэкдоры
Бэкдоры – это возможность, внедренная самим разработчиком, для обхода системы безопасности и шифрования. Самой громкой ситуацией с использованием бэкдора является Skype, когда в 2013 году Эдвард Сноуден разгласил информацию, согласно которой компания Microsoft передавала информацию в Агентство Национальной Безопасности, несмотря на имеющееся сквозное шифрование.
Сквозное шифрование позволяет создать безопасную передачу данных между пользователями. Сегодня этот способ является самым надежным, но даже он имеет уязвимости, от которых необходимо защищаться для получения полностью анонимного канала связи.
Сквозное шифрование: что это и зачем оно нужно вам
Объясняем на пальцах, что такое сквозное шифрование и зачем оно нужно обычным людям.
В последнее время всякие сервисы для связи — от WhatsApp до Zoom — часто говорят: вот, мы внедрили сквозное шифрование. Вот только далеко не все пользователи понимают, что это значит. Что такое шифрование, допустим, понятно, — значит, данные превращаются во что-то нечитаемое. А сквозное — это как? В чем его плюсы и минусы? Попробуем объяснить максимально просто, не углубляясь в термины и математику.
Что такое сквозное шифрование и какие еще бывают варианты
Сквозное шифрование — это когда сообщения шифруются на вашем устройстве и расшифровываются только на устройстве вашего собеседника (по-английски это называется end-to-end, что можно перевести на русский как «из конца в конец»). То есть весь путь от отправителя до получателя сообщение преодолевает в зашифрованном виде, поэтому его никто не может прочитать, кроме вашего собеседника.
Как еще бывает? Также возможна передача данных в открытом виде, то есть когда сообщение вообще не шифруется. Это самый небезопасный вариант. Например, данные не шифруются при передаче SMS — в теории их может перехватывать вообще кто угодно. К счастью, на практике для этого требуется специальное оборудование, что несколько ограничивает круг читателей ваших сообщений.
Еще бывает транспортное шифрование — это когда сообщения шифруются у отправителя, доставляются на сервер, расшифровываются там, вновь шифруются и доставляются уже получателю. Транспортное шифрование защищает информацию при передаче, однако позволяет видеть содержание сообщений промежуточному звену — серверу. Может быть, этот сервер ответственно относится к вашим тайнам, а может быть, и нет. Вам остается только доверять его владельцам.
В то же время во многих случаях может быть гораздо удобнее использовать транспортное шифрование вместо сквозного. Дело в том, что транспортное шифрование позволяет серверу предоставлять более разнообразные услуги, нежели просто передача зашифрованных данных от одного собеседника к другому. Например, хранить историю переписки, подключать к беседе дополнительных участников по альтернативным каналам (телефонный звонок в видеоконференцию), использовать автоматическую модерацию и так далее.
При этом транспортное шифрование решает важную задачу: исключает перехват данных по дороге от пользователя к серверу и от сервера к пользователю (а это самая опасная часть пути). Так что сервисы не всегда торопятся переходить на сквозное шифрование: для пользователей удобство и разнообразие сервисов может быть важнее повышенной безопасности данных.
От чего защищает сквозное шифрование
Из того, что зашифрованное сквозным шифрованием сообщение не может расшифровать никто, кроме получателя, вытекает еще один плюс: никто не может влезть в сообщение и изменить его. Современные шифры устроены таким образом, что, если кто-то изменит зашифрованные данные, при расшифровке они превратятся в мусор, — и сразу станет понятно, что тут что-то не так. А вот внести предсказуемые изменения в зашифрованное сообщение — то есть подменить один текст другим — не получится.
Это обеспечивает целостность переписки: если вы получили сообщение и его удается расшифровать, то вы можете быть точно уверены, что именно это сообщение вам и отправили и в пути оно никак не изменилось.
От чего сквозное шифрование не защищает
После того как кто-нибудь расписывает все преимущества сквозного шифрования — примерно так, как это сделали мы сейчас, — слушателям начинает казаться, что оно решает вообще все проблемы передачи информации. Однако это не так, и у сквозного шифрования есть свои ограничения.
Во-первых, пусть использование сквозного шифрования и позволяет скрыть от посторонних глаз содержание сообщения, сам факт отправки определенному собеседнику (или получения от него) сообщения все еще остается известным. Сервер не будет знать, что было в том сообщении, которое вы отправили своему собеседнику, но он точно будет в курсе того, что в такой-то день и в такое-то время вы обменивались сообщениями. В некоторых случаях сам факт общения с определенными адресатами может привлечь к вам нежелательное внимание.
Во-вторых, если кто-то получит доступ к устройству, с помощью которого вы общаетесь, то он сможет прочитать все сообщения. А также сможет писать и посылать сообщения от вашего имени. Поэтому устройства надо беречь, а также блокировать доступ к приложениям, использующим сквозное шифрование, хотя бы PIN-кодом, чтобы при потере или краже устройства ваша переписка не попала в чужие руки — вместе с возможностью притворяться вами.
По этой же причине устройства надо защищать антивирусами — зловред на смартфоне может точно так же прочитать вашу переписку, как и живой человек, заполучивший доступ к смартфону. И тут уже неважно, какое шифрование было использовано при передаче сообщений.
Наконец, в-третьих: даже если вы безукоризненно заботитесь о защите всех ваших устройств и точно знаете, что к сообщениям на них ни у кого нет доступа, вы вряд ли можете быть так же уверены в устройстве вашего собеседника. И сквозное шифрование тут тоже никак не поможет.
И все же, несмотря на ограничения, сквозное шифрование — наиболее безопасный способ передачи конфиденциальных данных, и именно поэтому на него переходит все больше различных сервисов. И это хорошо.
ProtonMail: Сквозное шифрование: описание и принцип работы метода
За счет использования криптографических ключей технология E2EE предусматривает, что контроль над перепиской осуществляются непосредственно пользователями, а расшифровать сообщения не могут ни перехватчики, ни даже сервера, передающие данные.
Что не является сквозным шифрованием?
Для того, чтобы иметь ясную картину, что из себя представляет метод E2EE, во-первых, мы должны выяснить, что не является сквозным шифрованием. Вы вероятно знаете о шифровании, которое используется веб-сайтами с целью защиты онлайн активности. Например, когда Вы посещаете сервис https://www.gmail.com, протокол HTTPS в начале адресной строки свидетельствует о том, что для шифрования передачи данных между компьютером и серверами Google используются криптографические протоколы SSL или TLS. Данный протокол является более безопасным, чем HTTP и широко применяется веб-ресурсами для защиты от перехвата данных. Главным недостатком технологии HTTPS является тот факт, что при общении двух пользователей передающие данные проходят через централизованные сервера (например, GMail), которые имеют ключи для расшифровки информации. Чтобы исключить сервера из цепочки, повысив таким образом приватность данных, можно использовать сквозное шифрование.
Как работает сквозное шифрование?
В сквозном шифровании конечными пунктами передачи являются непосредственно устройства отправителя и получателя. Сообщение шифруется локально на устройстве отправителя и может быть расшифровано исключительно на устройстве получателя. Сквозное шифрование часто называют “шифрование на стороне клиента” или “нулевой доступ” из-за факта, что шифрование происходит на устройствах конечных пользователей, а не на облачных серверах. Благодаря данной особенности, сквозное шифрование предотвращает потенциальное чтение пользовательских данных серверами. При реализации сквозного шифрования существует два вида криптографических алгоритмов: симметричный и ассиметричный.
Рис. 1 Сквозное шифрование гарантирует, что централизованные сервера не имеют доступ к данным
Симметричная криптография
Шифрование с использованием симметричного ключа применяется для “блокировки” сообщения. Принцип метода основан на идее, что отправитель генерирует ключ для превращения сообщения в криптограмму, т.е. закодированную версию сообщения, а затем отправляет эту криптограмму получателю. Передача ключа получателю осуществляется по другому защищенному каналу, поэтому в конечном итоге получатель сможет расшифровать сообщение.
Для того, чтобы проиллюстрировать, как в действительности работает симметричная криптография, рассмотрим передачу сообщения с почтового адреса сервиса ProtonMail на адрес другого провайдера услуг электронной почты. В этом случае Вам нужно задать пароль на сообщение и передать его вашим получателям. Получатели получают сообщение, содержащее ссылку на страницу ProtonMail, где находится зашифрованный текст. Затем получатели вводят заданный отправителем пароль к сообщению, и сообщение расшифровывается на локальном компьютере. Таким образом, пароль никогда не покидает компьютер отправителя и не отправляется на сервера ProtonMail, поэтому никто посторонний не может расшифровать сообщение.
Ассиметричная криптография
Главной проблемой использования симметричной криптографии является необходимость поиска канала для безопасного обмена ключа с получателем (если перехватчик получил криптограмму и ключ, сообщение будет рассекречено). Если бы только существовал способ публичного обмена ключа с получателями без риска несанкционированного доступа к зашифрованным сообщениям…
Рис. 2 Без закрытого ключа, сообщения, зашифрованные сквозным шифрованием, выглядят следующим образом
В качестве реального примера работы ассиметричной криптографии, рассмотрим, как передаются сообщения электронной почты между пользователями ProtonMail. Процесс шифрования невидим для пользователей: для зашифровывания сообщений используются открытые ключи получателей, а закрытые ключи, которые доступны только авторизовавшимся с корректным паролем пользователям, применяются для расшифровывания. ProtonMail не содержит пароли пользователей, поэтому сервис не может расшифровывать пользовательские данные. Кроме того, достоинство ассиметричного метода заключается в возможности автоматического кодирования входящих электронных сообщений с других сервисов, например с GMail с использованием открытых ключей пользователей, поэтому данные всегда хранятся в зашифрованном виде.
Преимущества использования сквозного шифрования
Сквозное шифрование обеспечивает максимальный уровень защиты для пользователей, которые серьезно заботятся о конфиденциальности данных. Для управления приватными данными Вам больше не придется полагаться на сторонние сервисы, которые могут:
Почему вы не использовали метод раньше?
Сервис ProtonMail пытается сделать сквозное шифрование простым и доступным любым категориям пользователей. Разработчики сделали процесс шифрования невидимым для пользователя, поэтому даже если Вы не понимаете внутренних процессов, можно без затруднений пользоваться ProtonMail. Зарегистрировать учетную запись и получить зашифрованный аккаунт можно по этой ссылке (действует закрытая система, после регистрации необходимо будет дождаться приглашения для использования).