Обеспечение информационной безопасности в мессенджерах Текст научной статьи по специальности «Компьютерные и информационные науки»

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОМ БЕЗОПАСНОСТИ В МЕССЕНДЖЕРАХ Титов Е.Ю.

Титов Евгений Юрьевич — студент, кафедра информационной безопасности автоматизированных систем, факультет информатики и управления, Калужский филиал

Московский государственный технический университет им. Баумана, г. Калуга

Мессенджеры стали популярным средством межличностной коммуникации, это обусловлено ростом числа пользователей смартфонов, мобильного Интернета и мобильных приложений в целом. Помимо личного общения мессенджеры используются также для ведения бизнеса и корпоративного общения между сотрудниками на предприятиях. В этих, и многих других сферах очень важно, чтобы предмет разговора не выходил за рамки частной беседы. Например, утечка конфиденциальной информации предприятия в руки к конкурентам может повлечь за собой огромные финансовые потери. Чтобы избежать подобных инцидентов, следует выбирать мессенджеры с высоким уровнем защищенности. Для этого необходимо знать, какими методами обеспечивается информационная безопасность в мессенджерах и какие из них наиболее действенны.

1. Сквозное шифрование.

Одним из таких методов является использование сквозного шифрования. В сквозном шифровании конечными пунктами передачи являются непосредственно устройства отправителя и получателя. Сообщение шифруется локально на устройстве отправителя и может быть расшифровано исключительно на устройстве получателя. Благодаря данной особенности, сквозное шифрование предотвращает потенциальное чтение пользовательских данных серверами. Схема сквозного шифрования приведена на рисунке 1.

Рис. 1. Схема сквозного шифрования

Для реализации сквозного шифрования могут использоваться два вида криптографических алгоритмов: симметричный и ассиметричный.

Главной проблемой использования симметричной криптографии является необходимость поиска канала для безопасного обмена ключа с получателем.

Ассиметричный метод решает проблему с защитой конфиденциальности сгенерированных ключей за счет использования двух видов ключей - открытого криптографического ключа и связанного с ним математически закрытого ключа.

Недостатки сквозного шифрования:

1. Возможность атаки «человек посередине»;

2. Безопасность конечных точек не может быть гарантирована;

3. Некоторые компании встраивают бэкдоры в свои программные продукты.

2. Протокол шифрования.

Ещё одним методом обеспечения информационной безопасности мессенджеров является надёжный протокол шифрования, или криптографический протокол. Криптографический протокол — это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах. К безопасности криптографического протокола предъявляются следующие требования:

1. Аутентификация (не широковещательная);

2. Авторизация (доверенной третьей стороной);

3. Конфиденциальность;

4. Анонимность;

5. Ограниченная защищенность от атак типа «отказ в обслуживании»;

6. Инвариантность отправителя;

7. Невозможность отказа от ранее совершенных действий.

На данный момент одним из самых надёжных криптографических протоколов считается протокол MTProto, используемый в мессенджере Telegram (рисунок 2).

Встраивается в транспортный протокол (TCP, HTTP,..)

Рис. 2. Криптографический протокол MTProto [4]

Данный протокол состоит из трех независимых компонентов:

1. компонент высокого уровня,

2. криптографический слой,

3. компонент доставки [4].

Первый - определяет метод, с помощью которого запросы и ответы API конвертируются в двоичный код.

Второй - определяет метод, который шифрует сообщения перед отправкой, и последний -служит для определения способа передачи сообщений (тип транспортного протокола). Во время подготовки пакета, сверху сообщения добавляется внешний заголовок, он представляет собой 64-битный идентификатор ключа, который уникально определяет ключи авторизации пользователя и сервера. Вместе они представляют 256-битный ключ и столько же разрядный вектор инициализации.

Последний используется для шифрования сообщения посредством алгоритма AES-256. В шифруемое сообщение включаются: сессия, ID сообщения, порядковый номер сообщения, соль сервера. Эти данные, в свою очередь, оказывают влияние на ключ сообщения. Таким образом осуществляется шифрование сообщения.

Но даже при наличии надёжного криптографического протокола и использования сквозного шифрования мессенджер нельзя считать абсолютно безопасным. 3. Степень централизации.

Ещё одним фактором, определяющим защищённость мессенджера, а также его отказоустойчивость, является степень централизации мессенджера. Существует три степени централизации мессенджеров:

1. Централизованный (требует отдельного сервера)

К мессенджерам с данной степенью централизации относятся большинство популярных на данный момент мессенджеров, таких как Telegram, WhatsApp, Viber, Facebook messenger. С точки зрения безопасности централизация - не лучший вариант. Помимо проблем с возможным разглашением пользовательских данных, возможны проблемы с перекрытием доступа к сервису властями.

2. Федеративный (сеть из серверов)

К таким относятся мессенджеры Riot.im, Jabber. Ситуация с перекрытием доступа властями у них не столь критична, в остальном же недостатки те же, что и у централизованных мессенджеров.

3. Децентрализованный (каждый клиент и есть отдельный сервер)

Такие мессенджеры, как Briar, Status, Signal. Для реализации данного подхода используется блокчейн (blockchain) - выстроенная по определённым правилам непрерывная последовательная цепочка блоков (связный список), содержащих определённую информацию. Блокчейн может использоваться для создания распределенных хранилищ данных. Главная идея тут в том, что вместо того, чтобы доверять хранение переписки некоему центральному серверу (который, к примеру, принадлежит Facebook), данные распределяются по сети из узлов, разбросанных по всему миру. При этом они точно так же шифруются с помощью продвинутых алгоритмов, а для расшифровки требуются ключи, которые никогда не передаются по сети. Такой подход позволяет уйти от необходимости использования телефонного номера или других идентификаторов для пользования мессенджером. А значит, связать отправленные сообщения с конкретным пользователем невозможно, даже если в будущем появятся способы взлома данных алгоритмов шифрования.

Список литературы

1. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии. М.: Гелиос АРВ, 2001. 479 с.

2. Бирюков А.А. Информационная безопасность: защита и нападение. М.: ДМК Пресс, 2012. 474 с.

3. Мао B. Современная криптография. Теория и практика. М.: Вильямс, 2005. 763 с.

4. Мобильный протокол MTProto. [Электронный ресурс]. Режим доступа: https://tlgrm.ru/docs/mtproto/ (дата обращения: 27.11.2019).