что безопаснее телеграмм или вацап
Viber, WhatsApp или Telegram: выясняем, что безопаснее
Кстати, помнишь ту хайповую фотографию, где Дуров отправил в РКН два железных ключа? Дескать, это единственные ключи, которые у него есть. Так вот, он лукавил. Но обо всём по порядку.
Согласно официальному сайту Viber, в мессенджере используется сквозное шифрование. Эта фраза кое-где встречается в самом приложении, а на сайте Viber этому целиком посвящены пара страниц и целый PDF-документ. Я изучил этот документ, а также все утверждения о безопасности Viber. И вот что понял.
А теперь самое вкусное. Telegram. Лучший мессенджер по мнению молодежи и продвинутых «средневозрастных» пользователей по всем параметрам, в том числе и безопасность. И здесь действительно есть, о чем поговорить.
Прежде всего, Telegram отличается о остальных постоянным самопиаром от Павла Дурова . Ни один вендор мессенджера не сказал столько пафосных речей и не написал стольких самовлюбленных текстов, сколько это делал и продолжает делать Павел. И подобные приемы очень хорошо работают. Думаю, что не без участия Дурова Viber и WhatsApp сегодня получили в народе статус небезопасных. Почему я начал в таком тоне? А вот смотри.
20 доказательств, что Telegram лучше WhatsApp. Это если объективно
WhatsApp или Telegram? Какому мессенджеру отдать предпочтение и куда переманить всех родственников с коллегами, чтобы было удобно общаться со всеми и каждым в отдельности?
Собрал 20 фактов, что «телега» лучше и функциональнее «вацапа», чтобы вы могли показывать эту статью в качестве аргумента во время спора с адептом WhatsApp, ведь с помощью Telegram получится не только мило общаться с родственниками, но и решать серьезные профессиональные вопросы. Жаль, но конкурент на это не способен.
Про безопасность промолчим. Причин пересесть на мессенджер Павла Дурова и без этого хватает.
Собственно, вот они:
1. WhatsApp не умеет надежно хранить ваши чаты и диалоги
В WhatsApp для сохранения диалогов нужно создавать резервные копии в iCloud — в Telegram все всегда хранится на серверах мессенджера
WhatsApp не умеет хранить переписку на своих серверах. Вместо этого он предлагает использовать облака. В экосистеме Apple это iCloud. На него нужно регулярно сохранять резервные копии переписки. Это можно делать либо вручную, либо автоматом.
Без резервной копии важная информация в WhatsApp легко потеряется. В работе это недопустимо.
Он сохраняет диалоги в зашифрованном виде на своих серверах и предоставляет к ним доступ с любого устройства в удобное время. Небо и земля.
2. В WhatsApp можно создать только один аккаунт
Чтобы добавить еще один аккаунт в WhatsApp, нужно устанавливать дополнительное приложение
В клиент Telegram можно добавить три учетки. Кроме личной есть место для пары рабочих.
Если мало, можно поставить сторонний клиент и расширить список. Это очень удобно пусть даже только в работе. Можно организовать пару аккаунтов для каждой ветки бизнеса и не беспокоиться, что образуется неразбериха.
В WhatsApp может быть одна учетная запись в основном клиенте и еще одна в бизнес-приложении. Зачем такое ограничение, не ясно.
3. В WhatsApp ощутимые ограничения на передачу файлов
Через Telegram можно передавать файлы до 2 ГБ каждый
Через WhatsApp можно передавать фотографии и небольшие документы. Telegram поможет отправить большой видеоролик, несколько аудиозаписей и тонну фоток в придачу.
4. В Telegram можно редактировать отправленные сообщения
В WhatsApp эту функцию до сих пор не завезли
Если написали ерунду намеренно или случайно, это получится быстро исправить. В WhatsApp для этого придется удалять сообщение и писать его заново. Очень неудобно.
5. В Telegram отдельные диалоги группируются в папки
Есть даже умные папки, которые показывают только личные или новые сообщения
Если одновременно участвуете в десятке диалогов, их логично разделить по направлениям: работа, семья, развлечения. Если подписаны на каналы, это особенно актуально.
В Telegram есть также умные папки, которые показывают сообщения конкретного типа.
6. В Telegram встроено облачное хранилище данных
Сюда можно забросить все то, что нужно под рукой в данный момент времени
В отдельный чат «Избранное» в Telegram можно забрасывать абсолютно все, что сейчас важно. Даже просто адрес и пару номеров телефона можно записать прямо сюда.
7. В WhatsApp нет выбора качества для отправки фото
В Telegram фото можно отправить либо быстро, либо без сжатия
Если снимок не нужно обрабатывать и производить с ним другие манипуляции, пусть улетает собеседнику в сжатом виде. В противном случае получится передать оригинал.
Жаль, через WhatsApp все идет только со сжатием. Судя по всему, в Facebook, который владеет мессенджером, экономят на мощности серверов.
8. В Telegram есть отправка сообщений по таймеру
Можно запланировать отправку сообщений по времени
С помощью таймера удобно делать напоминания на конкретное время.
Сейчас как раз попрошу коллег, чтобы посмотрели последние фотографии в админке сайта. Есть пара интересных кадров гаджета, который попал к нам на обзор.
9. Сообщения Telegram удобно искать по хештегам
В большой длительной переписке получится отмечать важную информацию тегами
С помощью подписей после # удобно помечать какую-то важную информацию. Это, к примеру, могут быть дельные идеи во время мозгового штурма или какие-то советы в длительной групповой переписке.
Не так давно в группе собачников уточнял название лекарства для домашней малявки. Они тут же дали необходимый хештег на ответ годовалой давности.
Даже удивился, что этим инструментом не пренебрегают самые обычные пользователи.
10. В групповых чатах WhatsApp нет закрепления сообщений
В Telegram можно закрепить сообщение в чате, чтобы оно всегда было в быстром доступе
В WhatsApp нет способа отметить важную информацию для других пользователей в групповом чате.
В Telegram сообщение можно просто закрепить, и оно будет отображаться в верхней части интерфейса в диалоге.
11. В WhatsApp нет опросов и других социальных функций
В Telegram можно быстро создать опрос для решения важных вопросов
Чтобы создать опрос в WhatsApp, нужно использовать сторонние сервисы. В Telegram получится даже организовать викторину с правильными ответами на конкретный вопрос.
12. Интерфейс Telegram можно изменить до неузнаваемости
Интерфейс мессенджера настраивается очень гибко
В WhatsApp получится только изменить подложку для диалога.
У Telegram вместо этого целая россыпь из вариантов оформления: от монохрома до розового, салатового и других оттенков. Все это настраивается через меню «Настройки» > «Оформление».
Конечно, практической пользы от этого не так уж много. Тем не менее, настроенным под себя приложением точно приятнее пользоваться.
13. Иконку Telegram для домашнего экрана можно заменить
Получится выбрать подходящую под обои на домашнем экране iPhone
В дополнение для тем оформления в Telegram есть также возможность изменения значка домашнего экрана. Есть винтажная классика, модерн и другие варианты на выбор. Все это также можно изменить через меню «Настройки» > «Оформление».
14. У Telegram есть клевые виджеты для домашнего экрана
Виджеты для домашнего экрана iPhone появились в одном из последних обновлений Telegram
В Telegram 7.5 наконец-то появились виджеты для рабочего стола iPhone.
Можно добавить плашку с кнопками для быстрого перехода к избранным диалогам. А еще есть быстрый просмотр пары избранных чатов. И первое, и второе ой как полезно.
15. В Telegram скрыть свой номер можно за никнеймом
Для связи через WhatsApp придется делиться номером своего телефона
Мой никнейм в Telegram есть даже в авторской подписи под этим материалом. Пишите вопросы, ответить не сложно.
Тем не менее, номер своего телефона просто так афишировать бы не стал. К нему привязаны банковские приложения и другие сервисы, поэтому раздавать его направо и налево не хочется.
Но как быть с WhatsApp?
Без номера пригласить в чат нового собеседника не выйдет. Приходится мириться с рисками.
16. В WhatsApp нет полезных информационных каналов
Через Telegram удобно следить за последними материалами на iPhones.ru
Telegram продолжает свое развитие в качестве многофункциональной социальной платформы. Через него не только переписываться можно, но и черпать новую информацию от независимых источников.
Авторы создают все новые каналы на любой вкус. К примеру, сам слежу за подборками обоев для iPhone, которые делает пара дизайнеров.
17. Telegram работает с мини-приложениями — ботами
К примеру, через бота сам слежу за свободными слотами в программе тестирования Telegram
В WhatsApp нет официальной поддержки ботов. Их пытаются делать сторонними средствами, но получается не очень. Пробовал пользоваться парой подобных, но не смог.
В Telegram в последнее время пользуюсь ботом, который следит за свободными местами в TestFlight для бета-версии мессенджера. Никак не попаду в программу тестирования.
18. Все приложения Telegram работают независимо
Для активации нового приложения Telegram не нужно сканировать QR-коды и производить другие длительные процедуры
Могу пройти авторизацию в Telegram на Mac с помощью другого Mac. И iPhone вообще не понадобится.
В WhatsApp без смартфона ничего не выйдет.
19. WhatsApp на Mac не работает без iPhone
Если iPhone не подключен к интернету, приложение WhatsApp на Mac тут же перестает работать
Да, приложение WhatsApp для Mac ощущается максимально неуклюжим. К примеру, оно прекращает работать, если на iPhone неожиданно оборвалось подключение к интернету.
В Telegram все с точностью до наоборот. Получится полноценно использовать любую программу по желанию.
20. Сообщество не поддерживает развитие WhatsApp
Только посмотрите на это разнообразие стикеров для Telegram, многие из которых сделали обычные пользователи!
Telegram предпочитают технически подкованные пользователи, которые участвуют в его развитии. Например, создают новые анимированные стикеры, которые вносят разнообразие в общение.
В WhatsApp все куда проще. В мире мессенджеров сегодня он ощущается, как «Одноклассники» в море социальных сетей. А хочется пользоваться хотя бы Instagram.
Словом, для молодых, активных и прогрессивных выбор очевиден. Это Telegram. WhatsApp работает как замена SMS, не более.
Николай Грицаенко
Кандидат наук в рваных джинсах. Пишу докторскую на Mac, не выпускаю из рук iPhone, рассказываю про технологии и жизнь.
Шесть лучших мессенджеров для смартфона — от самых популярных к самым безопасным
Содержание
Содержание
Для текста — SMS, для фотографий — MMS. Лет 15 назад было все просто и понятно. А теперь — десятки разнообразных мессенджеров. Одни друзья сидят в ватсапе, другие категорические фанаты телеграмма, третьи начали говорить про какой-то «сигнал» — что это вообще такое? В этой подборке шесть самых популярных и универсальных мессенджеров. Смотрим, какой лучше и зачем нам столько.
Мы не станем упоминать про предустановленные инструменты переписки, которые даются в нагрузку с вашей операционной системой: типа Hangouts от Google или iMessage от Apple. Обойдем стороной также Facebook Messenger, потому что это нишевый мессенджер, созданный для общения пользователями социальной сети. Если вы активно пользуетесь Facebook, оно у вас наверняка есть, а если не пользуетесь — оно вам и не нужно. А вот что лучше установить для безопасного и комфортного общения?
Приложение, в которое смогли даже наши бабушки и дедушки. За всенародную любовь и признание Whatsapp можно выдать отдельную ачивку. Удобная компьютерная версия, интуитивная навигация по чатам, возможность создавать отдельные конференции и групповые переписки. Быстрая доставка, никаких лагов, можно настроить отображение собственного присутствия в сети, выбрать внешний вид приложения. Правда, конфиденциальность низкая.
Whatsapp — самый главный конкурент Telegram, но до сих пор проигрывает в фишках для чата. В то время, как база Telegram трещит от крутых стикеров, мимимишные стикеры Whatsapp нравятся далеко не всем. При отправке файлов, приложение здорово сжимает качество. Гифки не проигрываются автоматически. Но Whatsapp однозначно стоит поставить на смартфон хотя бы потому, что в нем есть если не все ваши контакты, то большинство.
Skype
Старый добрый Skype по-прежнему держится на своих позициях, пережив определенную реинкарнацию во время локдауна 2020 года. Правда, большинство других мессенджеров также умеют в аудио- и видеозвонки, но кто-то остается верным Skype несмотря ни на что. Skype хорош для корпоративного и делового общения — даже через смартфон можно создавать конференции, групповые чаты. Из минусов: периодически выскакивает реклама, достаточно устаревший интерфейс, перманентные лаги в работе и низкая защита приватности.
Если вы ищете что-то для личного общения, Skype лучше обойти стороной. Но, возможно, там есть ваши коллеги, партнеры и начальники, которые предпочитают устраивать деловые онлайн-встречи именно тут.
Viber
Viber не очень прижился в России, потому что никто не понял, зачем нам еще один мессенджер, который не умеет ничего нового. Приложение достаточно противоречивое. Когда-то Viber был чуть ли не первопроходцем интернет-видеозвонков через смартфон. Но теперь другие приложения умеют все то же самое, да еще и обходят Viber по функционалу и удобству.
Viber сохраняет всю историю локально на смартфоне, из-за чего возникают проблемы с бэкапом при переносе приложения на новое устройство. Периодически бывают задержки с доставкой сообщений, допотопные смайлики и низкая конфиденциальность общения. Стоит ставить, только если у вас появился какой-то собеседник, принципиально влюбленный исключительно в Viber.
Все следующие мессенджеры отличаются повышенной защитой переписки. Закрытые серверы, надежное хранение данных чатов и профиля, сквозное шифрование. В той или иной степени, приложения ниже обеспечивают конфиденциальность ваших чатов и аудио-сообщений.
Telegram
Telegram был первопроходцем закрытой переписки. Кроме того, он очень удобен по функционалу. Здесь можно создавать личные каналы, чаты, группы. Улучшать управление с помощью огромной базы чат-ботов или создавать своих собственных. Еще тут просто гигантская база стикеров, гифок и картинок, которые здорово разнообразят общение. Удобная система персонификации: вы можете скрыть время своего пребывания от всех или уйти в блэкаут выборочно от конкретного человека. В конце концов, именно в Telegram создают свои каналы известные СМИ и публичные персоны.
Любите живое общение с картинками, гифками, стикерами и хотите следить за любимыми интернет-изданиями — однозначно ставьте Telegram. По разнообразному функционалу, который постоянно улучшается, Telegram однозначно в топе.
Signal
Signal появился в 2014 году, но в России стал популярным только в прошлом году. Буквально сразу о нем затараторили как о убийце Telegram. Мессенджер позиционирует себя как супер-безопасная социальная сеть, в которой можно обсуждать то, о чем не стоит говорить даже вслух.
На самом деле, Signal — это протокол шифрования, принятый за стандарт в 2013 году. Методы Signal используются в том числе в Whatsapp и Facebook Messenger. Но за эталонной реализацией — к одноименному приложению. Тут и открытый исходный код, и криптографическое сквозное шифрование, и скрытие собственного IP-адреса. Проще говоря, ваши чаты в Signal абсолютно всегда приватные и доступные только вам и вашему собеседнику. К данным мессенджера нет доступа даже у разработчиков. А еще тут есть самоуничтожающиеся сообщения. Вы сами придумаете, как их использовать. В остальном, те же возможности переписки, видеозвонков, групповых чатов, отправки файлов, что и у других приложений.
Threema
Все предыдущие мессенджеры при регистрации просят ваш номер телефона и доступ к контактам. Threema же работает полностью анонимно и автономно. Для его использования вам не нужен ни номер телефона, ни электронная почта, ни указание какой-либо информации. При регистрации вам присваивается индивидуальный случайный идентификатор. Говорят, что Threema даже использует правительство Швейцарии, где, собственно, и был создан мессенджер.
Threema не хранит копии сообщений, поэтому перенести переписку на другое устройство проблематично. Из минусов — приложение платное, но постоянно обновлять подписку не нужно. Достаточно купить его однократно примерно за три доллара.
Эксперт сравнил кибербезопасность WhatsApp и Telegram
Президент консорциума «Инфорус», эксперт в области информационной безопасности Андрей Масалович в беседе с «Известиями» сравнил безопасность мессенджеров WhatsApp и Telegram.
Накануне, 20 ноября, создатель мессенджера Telegram Павел Дуров призвал пользователей удалить приложение WhatsApp со своих устройств из-за обнаружения в нем многочисленных уязвимостей в сфере безопасности. Дуров отметил, что потенциальная опасность грозит не только данным, которые пользователи передают через приложение, но и тем, что хранятся на их устройствах.
«Переговоры защищены великолепно и в Telegram, и в WhatsApp. Без пристальных и очень старательных усилий спецслужб и везения их не расшифровать. Ваши переговоры защищены, если вы используете шифрованные чаты», — сказал Масалович.
Однако и в Telegram, и в WhatsApp книга контактов защищена гораздо хуже, отметил эксперт по кибербезопасности. «Охота идет именно за ней. Не что вы говорили, а с кем вы говорили. Потому что дальше список ваших контактов будут обрабатывать другими способами», — добавил специалист.
По его словам, уязвимости есть и в Telegram, и в WhatsApp. В частности, в Telegram можно деанонимизировать владельца канала, отметил Масалович.
«Telegram сейчас просто переводит стрелки, чтобы об этом не говорили. Они «дырку» исправили, но поздно. Появились базы, в которых миллионы пользователей деанонимизированы», — подчеркнул эксперт.
31 октября сообщалось, что хакеры получили доступ к 1,4 тыс. смартфонов чиновников в 20 странах на разных континентах из-за уязвимости в мессенджере WhatsApp. Основная атака производилась с 29 апреля по 10 мая 2019 года.
Кто именно ее осуществлял, неизвестно. WhatsApp 29 октября подал иск против израильского разработчика хакерского инструмента NSO Group, в чьем ПО использовались серверы, принадлежащие мессенджеру.
WhatsApp vs Telegram: Выбираем самый безопасный мессенджер
В рамках эксперимента было установлено, как пять популярных приложений для отправки сообщений реагируют на смену ключей шифрования.
На прошлой неделе газета The Guardian опубликовала статью о «бэкдоре» в популярном мессенджере WhatsApp. Вряд ли это был именно бэкдор, то есть намеренно оставленная уязвимость, но эта история действительно вызывает некоторые неприятные вопросы к процедуре смене ключей шифрования.
Автор портала Medium, Тина Мембе, решила выяснить, как другие мессенджеры, претендующие на звание безопасных, ведут себя в этой ситуации. Объединившись с другом, она провела ряд экспериментов и обнаружила неожиданные результаты.
Взяв два телефона на Android, Тина и ее друг приготовились изображать Алису и Боба. Итак, какова была процедура?
1. Первый контакт. Боб посылает сообщение Алисе.
2. Отправка сообщения после изменения ключа. Алиса удаляет его и повторно устанавливает приложение, в ходе этой процедуры ключи Алисы меняются. Боб посылает Алисе сообщение.
3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, Боб посылает Алисе сообщение, а затем Алиса повторно устанавливает приложение. Именно на этом попался WhatsApp: что делать, когда сообщение уже отправлено, и тут меняются ключи?
1. Первый контакт. Боб впервые связывается с Алисой, и сообщение доставляется без предупреждений и запросов пользователю. Судя по всему, так обстоит дело во всех протестированных мессенджерах, кроме Wire, где безопасность слабее, чем в других приложениях (см. ниже).
2. Отправка сообщения после изменения ключа. Алиса удалила и снова установила приложение. Как только Алиса поставила WhatsApp обратно, Боб сразу увидел в совместном чате уведомление об изменении ключа. (См. скриншоты, первое сообщение, что «код безопасности Алисы изменился».) Очень мило, что мессенджер сам предупреждает Боба об этом изменении. Однако из всех протестированных мессенджеров делает так делает только WhatsApp. Отлично.
3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, после чего Боб посылает ей сообщение. На первом скриншоте видно, что у сообщения только одна галочка — это показывает, что оно не доставлено. Теперь Алиса снова устанавливает мессенджер, и на втором скриншоте видно, что сообщение автоматически доставляется с использованием нового ключа, и Боба никто ни о чем не спрашивает, хотя он и получает уведомление об изменении (вторая надпись «код безопасности Алисы изменился»).
4. Проверка и подтверждение. Интерфейс у программы достаточно приятный. Для шифрования сообщений между абонентами в WhatsApp используется протокол Signal — судя по всему, продуманный и спроектированный с заботой о пользователе. Отсюда же и возможность сверить ключи при личной встрече с помощью QR-кода.
Результат тестирования WhatsApp
Хорошо: Интерфейс приятный и удобный.
Хорошо: Мессенджер сам предупреждает о смене ключа. В этом вопросе WhatsApp впереди всех остальных протестированных мессенджеров.
Хорошо: Сообщения WhatsApp доставляются при таких необычных обстоятельствах.
Плохо: Автоматическое повторное шифрование сообщений, за время доставки которых сменился ключ. Конечно, пользователь получает уведомление, но, если они будут требовать еще и подтверждения, WhatsApp обгонит все остальные мессенджеры. Но вот как при этом сделать удобной работу в группах, не путая порядок сообщений — большой вопрос.
Signal
1. Первый контакт. Все выглядит нормально.
2. Отправка сообщения после изменения ключа. В отличие от WhatsApp, Signal не предупреждает Боба, что ключи Алисы изменились. Все выглядит нормально, пока Боб не пытается отправить Алисе сообщение (первый скриншот). Однако, когда Боб предпринимает такую попытку, он получает не просто предупреждение, а блокирующее окошко, и, чтобы двигаться дальше, нужно явным образом дать согласие (второй скриншот). Когда Боб утверждает изменение, уведомление остается в логе беседы (третий скриншот).
3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, Боб посылает сообщение, затем Алиса снова устанавливает мессенджер. Алиса не получает сообщение, а на стороне Боба не показывается уведомление о доставке (четвертый скриншот). Тем не менее в следующий раз, когда Боб пытается отправить Алисе сообщение, он получает уведомление, что ее ключи изменились.
У Signal нет характерной для WhatsApp уязвимости, связанной с отправкой заново зашифрованного сообщения, но и само сообщение, посланное в момент, когда у Алисы удалено приложение, доставлено не будет. Возможно, в этом нет ничего страшного, ведь это не обычный сценарий, да и сбой не ведет к угрозе безопасности переписки, но программа могла бы быть и дружелюбнее к пользователю.
Вероятно, это лучшая реализация из протестированных мессенджеров. В Signal используется надежный протокол, есть QR-код для быстрого сличения ключей, а также некоторые удобные возможности: пользователи могут обменяться «безопасным кодом» через любой канал связи и быстро проверить его истинность с помощью буфера обмена. Программа была явно хорошо продумана и разработана с заботой о пользователе. Она оставляет хорошее впечатление.
Результат тестирования Signal
Хорошо: Как и следовало ожидать, Signal придерживается наиболее консервативной и безопасной политики.
Хорошо: Проверка ключей самая удобная из всех испытанных приложений.
Было бы неплохо добавить: Предупреждение об изменении ключей, как в WhatsApp.
Не очень хорошо: Сообщение, посланное в момент, когда у получателя удален мессенджер, теряются, и пользователю предлагается заметить это по непришедшему уведомлению о доставке. Было бы лучше, если бы Signal явным образом предупреждал об этом пользователя и предлагал еще раз отправить сообщение.
Telegram
1. Первый контакт. Очень странно, но в «тайных чатах» в Telegram нет отчета о доставке. Первые два сообщения в первом скриншоте были успешно получены и прочитаны Алисой, но Боб не сможет об этом узнать.
2. Отправка сообщения после изменения ключа. Здесь все становится очень плохо. Алиса удаляет приложение, ставит его обратно, после чего Боб посылает ей третье сообщение на первом скриншоте. Алиса его не получит, как и все последующие сообщения от Боба, сколько бы он их ни отправлял. При этом у Боба нет ни малейшего шанса это понять, потому что сообщений о доставке нет. О смене ключей Бобу тоже не сообщают. Тайные чаты устроены так странно, что поневоле возникает вопрос, а пользуется ли ими вообще кто-нибудь.
3. Ключи меняются в процессе доставки сообщения. Тут все тоже плохо. Боба не предупреждают о смене ключа у собеседника, а его сообщения просто не доходят. Неизвестно, как шифруются сообщения Боба — старыми или новыми ключами, — но какая разница, если на мессенджер все равно нельзя рассчитывать? Если Боб каким-то образом узнает, что все пошло не так, ему нужно открыть новый тайный чат, но о смене ключей он так и не узнает.
Приложение выглядит так, как будто о реальных сценариях использования никто даже не задумывался. Сравнить ключи можно с помощью некоего странного изображения — это не машиночитаемый QR-код, а картинка, которую нужно визуально сравнить с другой картинкой. Такое сравнение в любом случае и труднее, и медленнее, чем сканирование QR-кода в WhatsApp и Signal. А текстовое отображение ключа — просто отформатированное шестнадцатеричное число, дурацкое, как и весь этот экран.
Результат тестирования Telegram
Плохо: Никакого уведомления пользователя о смене ключей нет и в помине.
Плохо: Весь процесс обмена сообщениями ненадежен.
Автор исследования не рекомендует использовать Telegram для шифрованных переговоров, но, кажется, его создатели сами позаботились о том, чтобы это было невозможно.
1. Первый контакт. Если в других исследованных мессенджерах используется схема «доверяем первому отправленному собеседником ключу», то здесь защита слабее. Приложение доверяет любому ключу, если ключ сменится, то никакого уведомления не будет. Можно только вручную сверить все ключи с ключами собеседника, но это достаточно трудоемкий процесс (см. ниже).
2. Отправка сообщения после изменения ключа. В ходе тестирования выявилось непоследовательность работы мессенджера. Иногда ключ менялся без каких-либо предупреждений (как на скриншотах выше), а иногда выводилось предупреждение (которое, впрочем, не мешало Бобу продолжать писать Алисе). Кроме того, судя по сообщениям пользователей, некоторым из них и вовсе встречалось блокирующее предупреждение.
В Wire пояснили, что, если Алиса и Боб верифицируют устройства друг друга, Боб при попытке послать Алисе сообщение после смены ключей увидит блокирующее уведомление. Есть некие сомнения в том, что это безопасная схема, а требование взаимной проверки выглядит странно.
3. Ключи меняются в процессе доставки сообщения. Как уже выяснилось, одни мессенджеры теряют такое сообщение, другие пренебрегают требованиями безопасности. Wire теряет сообщение, и в безопасности протокола тоже нельзя быть уверенным — здесь имеет место такая же неопределенность, как и в предыдущем случае.
Некоторые протестированные мессенджеры не отличались дружелюбием к пользователю, но этот оказался откровенно враждебным. В отличие от протокола Signal, где устройства одного пользователя делят общую идентичность, здесь выбрано ужасное решение, что каждое устройство существует само по себе.
Wire также считает каждую установку приложения новым устройством, и в результате список устройств пользователя раздувается, как на скриншоте выше (например, за время этого тестирования устройств стало три, хотя телефон, конечно, использовался один).
Это значит, что пользователь с тремя физическими устройствами должен собрать их вместе, и каждый раз, когда на одном из них происходят какие-то изменения, провести шесть процедур попарной верификации, а пользователи, желающие провести верификацию друг друга, должны провести N² сравнений между своими устройствами.
Последовательность цифр для сравнения представлена в виде 64 шестнадцатеричных символов, причем они так отформатированы, что пользователь со склонностью к эпилепсии сильно рискует. Выходит, что двум пользователям с тремя устройствами для верификации пришлось бы сравнить 1152 символов.
Результат тестирования Wired
Очень плохо: Процедура уведомления о смене ключей абсолютно непредсказуема.
Очень плохо: Дизайн мессенджера в корне противоречит идее безопасной коммуникации. Даже если разработчики изменят поведение в случае со сменой ключей, выбранная ими схема работы с шифрованными сообщениями всегда будет ненадежной.
Очень плохо: В Wired используется более слабая схема, нежели «доверие первому полученному ключу». Здесь как в мессенджерах, которые требуют включить для получения уведомлений о смене ключей специальную настройку, но речь не о галочке, а о выполнении практически невыполнимой задачи (например, сверки 1152 символов) со всеми корреспондентами. Пользоваться этим невозможно.
1. Первый контакт. Пока все нормально.
2. Отправка сообщения после изменения ключа. Алиса удалила и снова установила приложение. Опять же, в отличие от WhatsApp, Allo не предупреждает Боба о смене ключа Алисы, но, как только он посылает Алисе сообщение, уведомление о смене ключа вставляется в беседу до набранного сообщения, и отправить его не получается. Это блокирующий процесс, как у Signal, но здесь пользователю менее очевидно, что происходит. Чтобы послать заблокированное сообщение с новым ключом, достаточно повторно на него нажать, и не факт, что пользователь сопоставит проблему с отправкой с сообщением о смене ключа, появившимся над сообщением.
3. Ключи меняются в процессе доставки сообщения. Исходящее сообщение Боба остается в состоянии ожидания, а история чата переписывается еще раз — перед исходящим сообщением Боба в нижней части второго скриншота можно увидеть еще одно уведомление, что ключ Алисы изменился.
Кажется, что все зависло. Боб пытается послать следующее сообщение, и оно тоже не отправляется. И, наконец, Алиса пытается послать сообщение Бобу (третий скриншот).
Когда оно приходит, два отложенных сообщения Боба наконец помечаются как неотправленные, и снова пользователю нужно самостоятельно сделать вывод, что это как-то связано со сменой ключей (а сообщение об этом уехало еще выше).
При нажатии на сообщения мессенджер их немедленно отправляет, а заодно перемешивает (четвертый скриншот) — оказывается, в каком порядке на них нажмешь, в таком они и отправятся.
В Allo используется протокол Signal, так что с процедурой сверки ключей здесь все в порядке, но интерфейс оставляет желать лучшего. QR-кода здесь нет, возможности поделиться кодом тоже, и в целом этот экран выглядит так, как будто разработчики не предполагали, что им кто-то будет пользоваться.
Результат тестирования Allo
Хорошо: Allo почти нормально обрабатывает каверзный случай изменения ключа, когда приложение удалено в момент отправки сообщения. Он, как и Signal, не отсылает автоматически сообщение с новым ключом, а также, в отличие от Signal, отдельно сообщает, что сообщение доставить не удалось. К сожалению, похоже, не обошлось без ошибок (исходящее сообщение застревает в ожидании отправки до получения сообщения от собеседника), но прорехи в безопасности тут нет. И, поскольку Allo не поддерживает шифрованные групповые чаты, проблемы с порядком сообщений здесь не так важны.
Оставляет желать лучшего: Интерфейс сверки ключей.
Оставляет желать лучшего: От пользователя требуется сначала выбрать «чат инкогнито», а потом еще найти нужную настройку, чтобы видеть предупреждения о смене ключей.
Плохо: Процесс подтверждения отправки немного примитивен — пользователю нужно еще догадаться, почему сообщение не удалось отправить, но для отправки достаточно одного касания.
Выводы
WhatsApp. Неплохо, но нужно поправить схему работы с сообщениями, посланными до новой установки мессенджера. Правильная реализация с учетом поддержки групп может оказаться непростым делом.
Signal. Самый безопасный вариант, но в вопросе функциональности можно было бы взять пример с WhatsApp.
Telegram. Очень неудобно.
Wire. Ужасно. Это пример того, как не должен быть устроен мессенджер.
Allo. Как ни удивительно, этот мессенджер выглядит перспективным. Осталось исправить некоторые ошибки, включить предупреждения по умолчанию, и можно будет считать его хорошим вариантом.