Отсигнальте, плиз

В мире идет массированная атака на свободу коммуникаций. Показательно, что одновременно и со всех сторон.

Диктатор Николас Мадуро, узурпировавший власть в Венесуэле, запретил Х (Twitter), искоренил Signal и призвал население добровольно удалять со смартфонов WhatsApp, который, как известно, «активно используется фашистами».

Палочку неолимпийской эстафеты подхватил Роскомнадзор и заблокировал тот же незадачливый Signal на территории РФ под предлогом нарушения «требований российского законодательства… выполнение которых необходимо для предотвращения использования мессенджера в террористических и экстремистских целях».

Камала Харрис, словно объединяя модные планетарные тренды, подобрала себе на роль вице-президента Тима Уолза — губернатора Миннесоты, прославившегося антиконституционным пророчеством в эфире MSNBC: «There’s no guarantee to free speech on misinformation or hate speech and especially around our democracy…» («Не будет никаких гарантий свободы слова в отношении дезинформации или выступлений, разжигающих ненависть, особенно когда речь идет о нашей демократии…»).

И как прикажете реагировать? Тренды общие, но реакция зависит от местоположения.

В Венесуэле народ судорожно изыскивает способы мгновенного удаления переписки из мессенджеров, потому что на улицах уже хватают, читают, а по результатам избивают и арестовывают.

В странах, где читают украдкой, но еще не арестовывают, вопрос повернут иным ребром: какой мессенджер срочно установить для обеспечения максимального уровня коммуникационной безопасности.

Постановка задачи

Вопрос коммуникационной безопасности сводится к выполнению двух прозрачных условий: невозможности блокировки работы мессенджера и невозможности перехвата переписки посторонними.

Проще остального решается вопрос с блокировкой работы мессенджера. Возьмем, к примеру, свежий всплеск непущайки Роскомнадзора в адрес Signal.

Запрет мессенджера во имя «предотвращения его использования в террористических и экстремистских целях» в переводе с языка государственной мифологии означает, что Роскомнадзор окончательно осознал собственную неспособность перлюстрировать переписку в Signal. По этой причине РКН поступил в соответствии с универсальным лекалом, сформулированным Таможенной службой США в 1995-м в ходе борьбы с бесконтрольным распространением «народного» алгоритма шифрования электронной почты PGP (см. «Хинштейн на eSIM-е»): «Всё, что государство не в состоянии контролировать, следует запретить».

В помянутой заметке, посвященной борьбе российских законодателей с сим-картами, я предположил, что законопроект «О внесении изменений в ФЗ «О связи» создан сугубо ради символической демаркации государственной интенции: «Не могу, поэтому низзя».

Блокировка Signal — мифотворчество из той же оперы. В конкретном случае «государева воля» преодолевается даже без внешнего VPN, простым включением встроенной в сам мессенджер опции «Censorship Circumvention» («Обход цензуры»).

Censorship Circumvention представляет собой встроенный набор хорошо документированных технологий защиты от цензурирования (их обсуждение — за рамками нашей колонки), которые успешно справляются с изобретательными попытками государств ограничить доступ к мессенджеру. Фича встроена в Signal неспроста: у мессенджера длинный послужной список запретов в самых одиозных диктатурах планеты. 

Читателей, интересующихся историей борьбы государств с Signal, отсылаю к подробному аналитическому отчету OONI (Open Observatory of Network Interference).

Signal оперативно отреагировал на российско-венесуэльский запрет и опубликовал памятку для борьбы с беспредельщиками. По сообщению NetBlocks, опция Censorship Circumvention пока отлично справляется с поставленной задачей на территории РФ.

Более важной проблемой является перехват пользовательской коммуникации посторонними. Особенно, когда понимаешь, что посторонние — это не только государство или криминалитет, но и сотрудники компании, обеспечивающей работу мессенджера. Именно у этих сотрудников максимум возможностей для перлюстрации переписки: как на уровне технических средств и хаков, так и на уровне юридических обязательств перед родной юрисдикцией.

Атака за 5 долларов

Всё, что я собираюсь рассказать читателю далее, относится скорее к концептуальному пуризму (паранойе?), чем к технологическим аспектам защиты пользовательской переписки.

Речь о пуризме, потому что всякий трезвомыслящий человек обязан знать главную аксиому кибербезопасности: сохранность переписки зависит от нас лично в гораздо большей степени, чем от технологических ухищрений. Можно установить на смартфоне идеально защищенный софт для обмена аудио-, видео- и текстовыми сообщениями (забегая вперед, скажу, что такого в природе пока не существует), а потом портировать себя родимого в неправильное место в неправильное время (да хоть бы на пограничный КПП РФ или на улицу в Каракасе).

Вам думается, что вы технологически глубоко продвинуты, поэтому всё в смартфоне подчистили или — не дай бог! — целиком его отформатировали. И тут вдруг оказывается, что сочетание двух замечательных народных мудростей — русской про «хитрый болт с резьбой» и американской про «$5 Wrench Attack» («5-долларовый гаечный ключ») — мигом сводят на нет всю мощь вашей технологической защиты. Почему так? Потому что при определенных обстоятельствах вы сами расскажете абсолютно всё и даже сверх того, что делали и знаете на самом деле. Просто из человечески понятного желания понравиться товарищу / господину следователю.

С учетом этой аксиомы можно не искать добра от добра и пользоваться дальше любимцем Илона Маска и Эдварда Сноудена — мессенджером Signal. Бесплатным, надежным и универсальным.

Если вам всё-таки неймется узнать, почему Signal нельзя считать полностью безопасным и конфиденциальным, и какие существуют альтернативы, — что ж, изучаем дальше.

Информационная безопасность

Чтобы понять, что не так с Signal, проговорю скороговоркой ключевые моменты теории информационной безопасности.

Начнем со сквозного шифрования (P2P, Person-to-Person Encryption).

С Р2Р Encryption всё очень просто: я отправляю со своего смартфона сообщение адресату, и для всех, кто пытается влезть посередине, это сообщение выглядит нечитаемой абракадаброй. Не важно, кто пытается читать мою переписку — товарищ майор или сотрудник компании-разработчика мессенджера: без ключа шифрования никто декодировать сообщение не сможет, а ключ шифрования в системе Р2Р есть только у получателя моего сообщения.

Все так много и долго говорят о P2P, потому что борьба за полноценное сквозное шифрование длится годами и — вы не поверите! — поныне реализована не во всех мессенджерах.

Загвоздка в слове полноценное. Для полноценности мало просто анонсировать поддержку Р2Р, нужно выполнить как минимум пять условий для того, чтобы алгоритм шифрования в мессенджере не вызывал нареканий:

• компьютерный код должен быть целиком open source и выложен на GitHub для всеобщих обозрения, анализа и оценки;
• компьютерный код должен пройти аудит нескольких авторитетных компаний, специализирующихся на безопасности, для выявления лазеек (backdoors), заплаток и прочих корпоративных реверансов в адрес родных государственных юрисдикций;
• Р2Р-шифрование должно иметь встроенный алгоритм выявления атаки man-in-the-middle, скрытого присутствия посторонних лиц в коммуникативной цепи, которые пытаются подменить собой отправителя сообщений для последующего перехвата и расшифровки ответов получателя;
• вся история переписки должна храниться в зашифрованном виде и только локально, то есть на смартфоне или компьютере самих пользователей (и ни в коем случае не на серверах разработчика);
• пользователь должен иметь возможность самостоятельно и в любое время производить замену собственных ключей шифрования.

Анализ подводных камней Р2Р поучительно проводить на примере популярного в РФ и странах третьего мира мессенджера Telegram. По умолчанию опция сквозного шифрования в Telegram отключена. Как много пользователей знают об этом «пустячке» и целенаправленно его исправляют? До тех пор, пока вы не включите Р2Р-шифрование с конкретным пользователем собственноручно (режим Secret Chat в версии для смартфона), вся ваша переписка будет шифроваться ключами, принадлежащими компании братьев Дуровых и, соответственно, вся ваша информационная безопасность будет целиком и полностью зависеть от их доброй воли.

Дальше — больше. Telegram использует протокол сквозного шифрования MTProto. Эта собственная разработка компании задействует самые передовые алгоритмы (AES-256, RSA 2048-bit, Diffie-Hellman) и прекрасна всем, кроме малого: она не open source.

Для сравнения: Signal также использует для Р2Р-шифрования протокол собственной разработки — Signal Protocol — однако его open source код хорошо изучен общественностью. Не случайно Signal Protocol взяли на вооружение Meta’s WhatsApp и Google Messages.

Сквозное шифрование — лишь первый шаг в обеспечении полноценной информационной безопасности. Навскидку приведу далеко не полный список обстоятельств, неадекватная реализация которых не только чревата потерей конфиденциальности переписки, но и создает угрозу физической безопасности пользователей (с последующим знакомством с гаечными ключами и хитрыми болтами):

• требования к открытию пользовательского аккаунта в мессенджере;
• политика сбора и хранения данных;
• юрисдикция компании-разработчика;
• «послужной список» компании-разработчика, то есть его репутация и история взаимоотношений с государственными структурами;
• формат оплаты услуг.

Список можно продолжить, но уже перечисленного достаточно, чтобы отказать за непригодностью 99% всех существующих сегодня мессенджеров. Объясню на примерах.

Требования к открытию пользовательского аккаунта

Считается, что основной красный флаг поднимает регистрация аккаунта по номеру мобильного телефона. Как, например, в нашем дорогом Signal. Опасения справедливы, потому что привязка номера ставит точку в любых претензиях на конфиденциальность. Мобильный номер — это самообнажение по всем параметрам: от банковского счета и паспортных данных до геолокации с точностью до пары-тройки метров.

Большинство пользователей, к сожалению, не догадывается, что регистрация по электронной почте ненамного лучше регистрации мобильного номера, потому что при должном рвении и умении идентичность и местоположение пользователя, сообщившего свой e-mail, достаточно легко восстанавливается по сетевому следу (форумы, сайты, социальные сети, онлайн-магазины и прочие места, в которых пользователь засветился со своим «мылом»).

В народных массах пользуются популярностью сервисы т. н. 5-minute / 10-minute mail, которые генерируют одноразовые краткосрочные адреса электронной почты. Бога ради, не стройте иллюзий. Во-первых, утечка пользовательских метаданных из подобных сервисов дает фору социальным сетям, во-вторых, работать с мессенджерами, которые используют для регистрации адреса электронной почты, всё равно не получится, потому что адрес придется регулярно подтверждать, а у вас к тому времени доступа к нужному почтовому ящику уже не будет.

Из сказанного можно сделать вывод, что полную конфиденциальность и безопасность пользователя могут обеспечить лишь мессенджеры, которые, помимо сквозного шифрования, еще и не требуют никаких привязок при регистрации. Это условие сокращает список доступных на рынке мессенджеров на порядок.

Политика сбора и хранения данных

В идеале компания-разработчик вообще не должна ни собирать, ни хранить какие бы то ни было данные пользователей.

Скажем, Signal не хранит ни контакты пользователя, ни его социальный граф, ни список его корреспондентов, ни информацию о местоположении, ни пользовательский аватар, ни имя профиля, ни членство в группах.

Тем не менее, небольшую утечку информации на уровне метаданных Signal всё-таки устраивает (для любителей технологий: Seal Sender, Delivery Tokens, Sender Certificates).

Ситуация, когда клиент не использует «секретный канал» и общается в режиме по умолчанию без сквозного шифрования (а таких большинство), дополненная собранной конфиденциальной информацией, отдает содержание всей переписки, вкупе со сведениями об интернет-провайдере и геолокации, в полное распоряжение компании Telegram.

Юрисдикция разработчика и его «послужной список»

Как говаривал кто-то из классиков марксизма-ленинизма: «Жить в обществе и быть свободным от общества нельзя». С учетом современных реалий максиму можно смело перефразировать: «Скажи мне, в какой стране у тебя бизнес, и я скажу тебе, что ты можешь делать, а о чём — только мечтать».

В контексте нашей темы сегодня: было бы странно надеяться, что мессенджер, зачатый в юрисдикции государства с богатой историей удушения user privacy, окажется, скажем так помягче, генетически не отягощенным конфликтом интересов.

Понимаю, что пользователям, реально обеспокоенным вопросами информационной безопасности, никогда в голову не придет идея осуществлять критически важную коммуникацию через китайский WeChat или Telegram с его российскими корнями и длинным шлейфом историй про закрытие каналов и аресты их модераторов.

Следует, однако, помнить, что Signal с его безупречным сквозным шифрованием хоть и управляется некоммерческой структурой (Signal Technology Foundation), но всё же пребывает в американской юрисдикции, о которой мы тоже знаем много хорошего: и про заплатки в коде флагманов IT, и про политическую цензуру в социальных сетях, и про сливы конфиденциальных пользовательских данных прямиком в «озабоченные органы».

Соответственно, идеальная юрисдикция — это полное отсутствие всякой юрисдикции. Звучит утопически, однако в современных условиях реализуется отлично: наш гипотетический идеальный мессенджер должен использовать open source P2P-шифрование, отказаться от любых привязок аккаунта при регистрации, иметь децентрализованный формат управления (ДАО) и разворачиваться на децентрализованных серверах в пространстве Web3.

Формат оплаты

Требование платежа, на мой взгляд, является самым слабым звеном любой системы информационной безопасности, сводящим на нет остальные элементы защиты. Утешает, что платных мессенджеров на рынке — считанные единицы.

Для примера предлагаю взять мессенджер Threema, поскольку он входит в топ практически всех мейнстримных рейтингов «безопасных мессенджеров».

Главные достоинства Threema:

• полноценный Р2Р с открытым, хорошо документированным кодом (open source);
• множество независимых аудитов;
• для регистрации счета не требуется привязка ни к телефонному номеру, ни к электронной почте;
• не хранит никакой информации о пользователях.

В обзорах в качестве козыря часто поминают также родословную Threema: штаб-квартира компании и ее серверы расположены в Швейцарии, которая по какому-то недоразумению считается цитаделью «банковской тайны».

Памятуя, как часто после 2008 года швейцарские банковские гномы безотказно сливали налоговым ведомствам информацию о своих клиентах под угрозой лишения банковской лицензии в США (вот, вот, вот, вот), я бы, пожалуй, воздержался от педалирования юрисдикции Threema в списке достоинств этого мессенджера.

Это обстоятельство не ускользает от профессиональных обозревателей софта, однако они расставляют поразительно ошибочные акценты, сетуя на сложность массовой адаптации программы из-за (о ужас!) ее стоимости — целых 4,99 евро.

Пафос всех попавшихся мне обзоров сводится именно к запретительной стоимости мессенджера. Типа такого: «Главная проблема Threema — убедить ваших друзей платить за мессенджер, и это непростая задача. Если, однако, вы (и они) сможете смириться со стоимостью, обязательно нужно попробовать».

В реальности цена мессенджера (чашка кофе в Цюрихе) — полная ерунда. За программу со столь крепкой информационной защитой было бы не жалко заплатить даже на порядок больше, если бы не одно обстоятельство: сам факт необходимости производить оплату уничтожает эту броню на корню.

Судите сами. Threema можно купить либо через Apple AppStore, либо через Google Play. И в том, и в другом случае происходит полная привязка копии программного обеспечения к вашему профилю: к ID, месту жительства и банковским реквизитам.

Швейцарские люди из Threema понимают оксюморон безупречного Р2Р-шифрования в сочетании с нудизмом в стиле Apple & Google, поэтому предлагают пользователям альтернативный канал для осуществления платежа — через собственный онлайн Threema Shop. Так гордо и написано: «Purchase Threema for Android on this page without using the Google Play store», то бишь покупайте напрямую у нас и сможете загрузить APK-дистрибутив программы в обход «Корпорации Добра».

В магазине Threema Shop у пользователя три опции: оплатить с указанием адреса электронной почты, без адреса и «анонимно наличкой». Последний вариант — самый умилительный: вложите в конверт инвойс, купюру в 10 евро и отправьте по швейцарскому адресу.

Анонимность почтового отправления — еще та песня. Но люди из Threema, кажется, предусмотрели и это, для самых мнительных в рукаве припасен экстремальный вариант: выбираем опцию Without Email Address, отказываемся от оплаты банковским переводом и кредитной картой, выбираем форму платежа Bitcoin и нажимаем на кнопку Next.

На следующей странице для оплаты криптовалютой пользователю предлагается заполнить форму с джентльменским набором профессионального борца за анонимность: название компании, ФИО, почтовый адрес и даже регистрационный налоговый код.

Недоуменно пожимаем плечами, оставляем все эти глупости незаполненными, кликаем на Next и попадаем на вожделенную страницу. Мы, типа, дошли до платежа, призванного удовлетворить самого параноидального пользователя. Параноидального, а при этом и неискушенного — что в плане информационной безопасности, что в вопросах криптоэкономики.

Проблема в том, что собранные в процессе оформления платежа метаданные (от IP-адреса до геолокации), дополненные временной меткой генерации инвойса, текущим обменным курсом биткоина и иллюзией того, что считается «анонимностью» короля криптовалют, — всё это вместе позволяет швейцарской компании создать неповторимый пользовательский профиль, который впоследствии будет всегда крепко связывать покупателя с уникальным номером копии мессенджера, которую предоставят для скачивания после подтверждения платежа.

Будет, пожалуй, безопаснее «сдаться» «Корпорации Добра» и оплатить мессенджер Threema в Google Store, а не самообнажаться перед лукавым региональным гешефтмейкером.

Альтернативные мессенджеры

Как видите, ни Signal, ни Threema не являются идеальными мессенджерами в плане информационной безопасности и конфиденциальности. Неужели нет чего-то более надежного и бескомпромиссного?

Несомненно есть! В голову приходят сразу три мессенджера и все родом из криптоэкономики: Status, Session, Adamant.

В плане информационной безопасности перечисленная тройка безупречна: абсолютная анонимность, бескомпромиссное Р2Р-шифрование; использование техник обфускации геолокации и прогон трафика через Tor; удаление из передаваемых сообщений метаданных; никаких требований к регистрации и сборов пользовательских данных; никакой слежки, никаких номеров мобильных и адресов электронных почт. Вся коммуникация живет онлайн, бок о бок с остальными объектами, фиксируемыми в блокчейне: криптовалютами, децентрализованными приложениями, NFT.

Есть и еще один большой плюс: криптомессенджеры нативно защищены от цензуры, потому что физическое перемещение сообщений осуществляется между серверами Web3, объединенными в криптосеть, информация хранится в распределенном блокчейне, а не на корпоративном сервере разработчика.

По сути, криптомессенджеры — это обыкновенные «криптокошельки», которые в дополнение к традиционным объектам блокчейна позволяют пользователям обмениваться и сообщениями.

Выходит, идеал мессенджера найден? Увы. 

Во-первых, все существующие криптомессенджеры развернуты в совершенно маргинальных криптосетях и обслуживаются не менее маргинальными командами разработчиков. К примеру, криптосеть Adamant занимает 1909 место в рейтинге криптоактивов по капитализации, Status — 409-е, а Session (бывшая австралийская криптосеть Loki, затем Oxen) вообще находится за гранью рейтингов из-за ничтожной капитализации.

Во-вторых, функционал криптомессенджеров до того убогий, а пользовательских интерфейс до того чудовищный, что сравнить их получится разве что с Facebook Messenger.

Добавьте сюда неподъемно крутую «учебную курву» (learning curve) для погружения в реалии криптоэкономики и согласитесь, что достойнее Signal и Threema для конфиденциального обмена сообщениями в мире пока еще ничего не придумали.

Мне гораздо больше импонирует Signal, но не сомневаюсь, что и Threema легко найдет своих поклонников: Швейцария, банковская тайна, наличка, биткоины… ну вы понимаете!