Почему специалисты безопасности не до конца доверяют именитой компании и как она может улучшить положение?
Принадлежащая IT-гиганту Meta * коммуникационная платформа Messenger * (ранее «Facebook* Messenger»), число пользователей которой недавно перевалило за миллиард, наконец-то внедрила сквозное шифрование переписки (E2EE) по умолчанию в начале декабря. Ранее такая функция уже была доступна в Messenger, но лишь как отдельная опция. Теперь же она станет обязательной для всех личных сообщений.
Сквозное шифрование по умолчанию не является чем-то фундаментально новым и давно поддерживаются уже многими мессенджерами, включая WhatsApp и Signal. Тем не менее, даже эксперты и активисты в сфере конфиденциальности данных, критически относящиеся к прошлым практикам Meta, оценивают этот шаг как позитивный.
«Я считаю, что это редкий случай, когда Meta сделала нечто такое, с чем я полностью согласен и что, по моему мнению, целиком и полностью является положительным для всего мира», — прокомментировал ситуацию Купер Квинтин из Electronic Frontier Foundation.
Для шифрования переписки в Messenger, так же, как и в WhatsApp, используется реализация открытого протокола Signal. Этот криптографический метод был первоначально создан для одноимённого приложения Signal. Помимо Messenger и WhatsApp, его также используют Skype, Android Messages и ряд других популярных мессенджеров.
Криптографы протестировали протокол Signal в действии и, в целом, высоко оценивают его возможности. «Это то, что все делают, и на это есть веские причины, — говорит Мартин Альбрехт, профессор кибербезопасности Королевского колледжа Лондона. — Это хороший протокол».
Принципиальное отличие Messenger от конкурентов заключается в собственном протоколе Labyrinth, используемом для хранения и резервного копирования зашифрованных сообщений. В идеале, по мнению Альбрехта, Meta могла бы предоставить доступ независимым криптографам для верификации реализации шифрования в Messenger. Это позволило бы либо подтвердить безопасность протокола, либо обнаружить потенциальные уязвимости в нём. Однако Meta пока не пошла на такой шаг даже для WhatsApp, несмотря на призывы экспертов.
Сомнения в безопасности фирменного протокола Meta также вызывает то, что за многие годы о ней сложилась репутация компании, активно собирающей данные о пользователях для своего рекламного бизнеса. Более того, в прошлом году Meta даже была оштрафована регуляторами ЕС на $1,3 млрд за незаконную передачу персональных данных европейских пользователей Facebook в США.
Несмотря на это, в своих публичных заявлениях Meta позиционирует шифрование как способ защитить конфиденциальность переписки своих пользователей. В частности, компания утверждает, что благодаря шифрованию ни сама Meta, ни власти не смогут получить доступ к содержимому личных сообщений.
Что ж, простым пользователям остаётся лишь принять озвученную компанией позицию, но было бы неплохо, если бы в будущем она пересмотрела свои принципы и сделала внутренние процессы более открытыми и прозрачными.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале