Группа исследователей безопасности из Рурского университета опубликовала (https://blog.cryptographyengineering.com/2018/01/10/attack-o... сведения (https://eprint.iacr.org/2017/713.pdf) о недоработках протокола в системе групповых чатов WhatsApp, позволяющих при получение доступа к серверу организовать прослушивание закрытого чата, несмотря на применение оконечного (end-to-end) шифрования на стороне участников чата. Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки в случае компрометации инфраструктуры, диверсии персонала или предоставления доступа спецслужбам.
Принцип работы группового чата WhatsApp и Signal сводится к тому, что каждый участник чата шифрует все отправляемые сообщения на своей стороне и рассылает всем участникам чата, используя групповой ключ. Каждый участник имеет подобный ключ, позволяющий остальным читать его сообщения (т.е. вместо создания ключей для всех связей в группе, создаются групповые ключи для каждого участника). При подключении нового участника, члены группы обмениваются новыми групповыми ключами.
Слабой стороной WhatsApp является то, что участие в чате координируется сервером и каждый новый пользователь, который получил от сервера полномочия участия в чате, обретает возможность получения и отправки сообщений каждому участнику чата. В случае контроля за сервером можно обходным путём без получения пригласительного кода от члена группы добавить в группу фиктивного участника, который сможет установить end-to-end соединения со всеми остальными участниками и получать отправляемые в чат сообщения.
В мессенджере Signal недоработка связана с отсутствием проверки факта участия в группе пользователя отправившего управляющее сообщение c включением нового участника в группу. Данная особенность позволяет любому пользователю Signal отправить служебное сообщение с включением участника в группу, но для этого участник должен определить секретный идентификатор группы (128-разрядное случайное значение), узнать который нереально, даже имея доступ к серверу (идентификатор передаётся между участниками только в зашифрованном виде).
В WhatsApp сервер принимает большее участие в организации работы группы и не использует end-to-end шифрование для служебных сообщений управления группой, что позволяет на сервере перехватить идентификатор группы. Таким образом при наличии контроля за сервером WhatsApp можно определить идентификатор группы и инициировать подключение нового участника в чат, без ведома текущих членов группы.Moxie Marlinspike (https://en.wikipedia.org/wiki/Moxie_Marlinspike), один из авторов протокола Signal, скептически отнёсся (https://news.ycombinator.com/item?id=16117487) к практической пользе от атаки на групповой чат, так как все участники группы получат уведомление о подключении нового участника и скрыть данное уведомление не получится, так как связь с каждым новым участником устанавливается на стороне клиента, а сервер лишь обслуживает метаданные и не имеет доступа непосредственно к переписке. Кроме того, атакующий сможет перехватить только новые сообщения, отправленные до его подключения к чату, все ранее отправленные в группу сообщения останутся зашифрованы ключами, недоступными атакующему.
Данный подход оценивается как разумный компромисс между безопасностью и удобством работы. Например, в Telegram в групповых чатах к сообщениям вообще не применяется end-to-end шифрование и шифруются лишь потоки трафика между клиентом и сервером. В такой ситуации при наличии доступа к серверу можно полностью контролировать всю переписку, включая возможность просмотра ранее отправленных в чат сообщений, и делать это незаметно для участников чата.Тем временем, Facebook, который владеет сервисом WhatsApp, опубликовал (https://github.com/facebookresearch/asynchronousratchetingtree) на GitHub реализацию нового протокола ART (Asynchronous Ratcheting Tree (https://eprint.iacr.org/2017/666.pdf)) для создания защищённых групповых чатов. В протоколе используется end-to-end шифрование и гарантируется конфиденциальность передаваемых сообщений. Прототип реализации написан на языке Java и поставляется под лицензией CC-BY-NC.
В отличие от систем групповых чатов подобных Signal, WhatsApp и Facebook Messenger, в ART предоставляется защита от подслушивания в случае компрометации одного из участников. Например, если кто-то получил контроль за одним из участников чата, в Signal он может прослушивать все дальнейшие разговоры группы. Для решения этой проблемы в ART предложено использовать асимметричные предварительные ключи в сочетании с асимметричным одноразовым установочным ключом, которые позволяют выполнить обмен ключами для неполного набора участников и сохранить безопасность даже если некоторых участники не находятся в online или скомпрометированы. Установочный ключ генерируется создателем чата и используется только в процессе создания сеанса, давая возможность лидеру группы создать секретные ключи для участников, находящихся в offline.
URL: https://blog.cryptographyengineering.com/2018/01/10/attack-o.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47887
Facebook Asynchronous Ratcheting Tree -- это просто праздник какой-то.
Какая пошлая шутка
Не пошлая, а скабрёзная. Ничего пошлого в ней нет.
Moxie считает Telegram раздутой маркетолоками поделкой, в которой даже и близко безопасности нет.
Отквочу немного: "I think the lesson to anyone watching is clear: don't build security into your products, because that makes you a target for researchers, even if you make the right decisions, and regardless of whether their research is practically important or not. It's much more effective to be Telegram: just leave cryptography out of everything, except for your marketing."
Начнём с того, что Signal зависим от GCM. О какой приватности в таком случае вообще может идти речь?
Был. И появилась альтернативная реализация на websocket. А потом websocket перекочевали в официальный Signal.
И теперь клиент Signal не будет ругаться на отсутствие гуглосервисов и выключаться?
На Андроиде пользуюсь Conversations и Riot. Установить Signal необходимости не было, так что наверняка не знаю.
>И теперь клиент Signal не будет ругаться на отсутствие гуглосервисов и выключаться?Он уже давно этого не делает. Просто предупреждает, что мол у тебя, чувак, нет GCM, всё может работать чуть-чуть помедленнее. В итоге работает без малейших проблем, и сообщения, и видеозвонки.
А ещё проще и надёжнее просто взять Jabber с OMEMO или Matrix/Riot.
Matrix/Riot подобной атаке не подвержен?
Что для джаббера, что для матрикса, есть исходные коды не только клиента, но и сервера - анализируй сколько хош. Раз учёные молчат, значит подобных уязвимостей не нашли.
Лучше Tox, там нет сервера который так и просит чтобы его хакнули и который в два счета будет метаданные собирать на всю толпу. Не ваш сервер так сервер собеседника. На свой вы врядля всех переманите.
С февраля прошлого года уже нет. Ну и push отправляет только сообщение вида "что-то произошло" на устройство, что именно произошло, разбирает проснувшаяся программа.
Да, ждем выхода из беты шифрования в Matrix и переходим/перетаскиваем знакомых на matrix/Riot
Если к тому времени на планете ещё кто-нибудь останется
*
""только в России Telegram был оштрафован за непредоставление ключей шифрования сообщений. Это единственный подобный прецедент за 4 года работы Telegram на глобальном рынке.""
https://vk.com/durov?w=wall1_2083400
Я вот одно не пойму... как можно оштрафовать приложение Telegram? Если оштрафовали компанию, то зачем ей существовать в России и ходить в их суды? Это обязательно для распространения чата в Google Play?
Штраф дали компании:
""Мещанский суд Москвы оштрафовал Telegram Messenger LLP на 800 тысяч рублей за непредоставление в ФСБ доступа к переписке (“ключей дешифровки”) пользователей Telegram.""
https://vk.com/durov?w=wall1_2061401
Это пиар-кампания.
Да сто пудов!
Иначе было бы что то типа как к гуглям - 800000 но _в_день_ пока не исполнят :)
А так дура(ф) лохов ишет :)
Ты то умён не по годам =)
А за что штрафовать пиар-компанию, если она делает только пиар, а не мессенджер?
Или я просто не понял шутки...
> А за что штрафовать пиар-компанию, если она делает только пиар, а не
> мессенджер?
> Или я просто не понял шутки...Да и потом, штрафы суды обычно не дают одноразово. Обычно вердикт типа такого:
1. Штраф сегодня на такую-то сумму.
2. Указание исправить нарушение до какой-то даты.
3. За каждый день после этой даты идёт дополнительный штраф (aka счётчик).
4. В случае злостного невыполнения судебных требований -- прекращение ведения любого бизнеса компании, аннулирование лицензий итп.Поэтому "телеграму выписали штраф" звучит как-то неполно.
Да все полно. Просто все было выполнено. Адреса, пароли, явки переданы куда надо.
Почитайте, будет интересно:
http://dolboeb.livejournal.com/3164007.html
http://dolboeb.livejournal.com/3167688.html
http://dolboeb.livejournal.com/3149444.html
Этот худила, слава б—гу отдал концы
Аргументируйте, почему так его назвали?
>Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки
>тайна перепискиподелили на 0
на бесконечность
да бред это все. Что знаю двое - то знают все =)
> да бред это все. Что знаю двое - то знают все =)Не, не так :). Насколько помню, изначально было такое:
"Мужик сказал свинье, свинья - борову, а боров - всему городу".
:D
Почему Wire не упомянули? Он так же использует протокол Signal. Там нет этой уязвимости?
В мессенджере Signal ... участник должен определить секретный идентификатор группы (128-разрядное случайное значение), узнать который нереально, даже имея доступ к серверу (идентификатор передаётся между участниками только в зашифрованном виде).А в Signal есть уязвимость?
Очнись, дружок. Wire не использует протокол Signal.
>Wire provides end-to-end encryption for its instant messages. Wire's instant messages are encrypted with Proteus, a protocol that Wire Swiss developed based on the Signal Protocol.https://en.wikipedia.org/wiki/Wire_(software)
Во многом это тот же протокол.
Запорожец и Феррари тоже во многом те же автомобили :-)
> Почему Wire не упомянули? Он так же использует протокол Signal. Там нет
> этой уязвимости?Wire работает на протеусе. Связь с протоколом Signal минимальна.
> Связь с протоколом Signal минимальна.Это форк сигнала, проснись.
>> Связь с протоколом Signal минимальна.
> Это форк сигнала, проснись.Это ты дяде в садике расскажешь.
(Meg)Olm (Matrix), OMEMO (Jabber), Proteus (Wire) - это всё реализации одного и того же протокола Signal (Axolotl, double-ratchet). Изменены могут быть только параметры, не оказывающие никакого существенного влияния на безопасность протокола.И не стоит забывать, что Signal - это по большому счёту только сама криптография, а всё остальное - на усмотрение реализации. Отсюда вот такие баги, как в новости.
> (Meg)Olm (Matrix), OMEMO (Jabber), Proteus (Wire) - это всё реализации одного и
> того же протокола Signal (Axolotl, double-ratchet). Изменены могут быть только параметры,
> не оказывающие никакого существенного влияния на безопасность протокола.
> И не стоит забывать, что Signal - это по большому счёту только
> сама криптография, а всё остальное - на усмотрение реализации. Отсюда вот
> такие баги, как в новости.Судя по вики, матрикс - самостоятельный протокол, ипользующий библиотеку Olm только для "дополнительного шифрования между комнатами". В остальном это другой протокол.
Не знаю по какой вики. Но изобрести безопасный крипто-протокол - это годы работы мастеров. Matrix - это группа (javascript-)программистов, а не крипто-спецов. Они работали только над конкретной реализацией, изменив кое-какие непринципиальные параметры.https://en.wikipedia.org/wiki/Double_Ratchet_Algorithm#Appli... Как видно, тут и Riot, и прочие знакомые.
>или предоставления доступа спецслужбам.this
Симметричные ключи, MDK и UDK. Никто не знает про них, что-ли?
- Защищённые чаты!, - кричали они.
- Меня никто не взломает!, - отвечало эхо.
> Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну перепискиБудто бы кто-то в нее верил раньше.
Только Ring и Tox, а не эти "анонимные" поделия с привязкой к номерам телефонов.
> Только Ring и Tox, а не эти "анонимные" поделия с привязкой к
> номерам телефонов.со дня на день помрут эти твои ring и tox
5 лет уже хоронят. Сам раньше помрешь. :)
Тоже самое про венду и линь говорили, оба живы и умирать не собираются :)
Протокол Signal признан безопасным. А есть исследования, подтверждающие безопасность Tox?И несмотря на то что Tox старше Signal (где есть поддержка multi-device), у Tox баг всё ещё не закрыт: https://github.com/irungentoo/toxcore/issues/843. А как известно, это одна из самых сложных частей реализации.
Про Ring мне тоже не попадалось исследований.
У Signal получается как таковой проблемы нет. Если он не может читать сообщение в группе. Если получил доступ к серверу, то тут уже туши свет
У Matrix/Riot реализация щифрования понадёжней даже несмотря на децентрализацию: https://matrix.org/docs/guides/e2e_implementation.htmlТак зачем же людям использовать эту коммерческую закрытую хрень, если уже есть надёжная и бесплатная опенсоурс реализация?
> даже несмотря на децентрализациючего? Не путайте с tox/ring