Безопасность информационных технологий

В статье анализируются возможности повышения стойкости защищенных соединений между пользователями мессенджеров в условиях воздействия внешнего нарушителя и недоверия к провайдеру сервиса. В работе проведено сравнение методов и механизмов криптографической защиты информации, заложенных в основу двух широко распространенных мессенджеров: Telegram и WhatsApp. При этом установлено, что для защиты сквозных соединений в мессенджере Telegram используется протокол MTProto, а в мессенджере WhatsApp — протокол Signal.Изучены особенности реализации мессенджеров на наиболее распространенной мобильной платформе Android, связанные с генерацией случайных чисел. В результате детального анализа каждого из них было выявлено, что лучшим по совокупности свойств безопасности является Signal. Помимо WhatsApp, он используется в ряде других популярных мессенджерах, таких как TextSecure, RedPhone, GoogleAllo, FacebookMessenger, Signal. Выявлены и проанализированы возможные атаки на оба мессенджера. В частности, установлено, что в обоих мессенджерах не защищаются метаданные. Обеспечение безопасности метаданных может стать одной из целей дальнейших исследований.

криптография; сквозное соединение; шифрование; WhatsApp; Telegram

1 Telegram [Электронный ресурс]. URL: https://planfix.ru/docs/Telegram (Дата обращения: 13.11.2016).

2 Число пользователей Telegram превысило 100 миллионов [Электронный ресурс]. URL:
https://lenta.ru/news/2016/02/23/telegram/ (Датаобращения: 13.11.2016).

3 Secretchats, end-to-endencryption [Электронныйресурс]. URL: https://core.telegram.org/api/end-to-end(Дата обращения: 13.11.2016).

4 Jacobsen, J. B. A practical cryptanalysis of the Telegram messaging protocol. Ph.D. Theses [Электронныйресурс] / J. B. Jacobsen; Aarhus University: Department of Computer Science. 2015. 79 pp. URL: https://cs.au.dk/~jakjak/master-thesis.pdf (Дата обращения: 20.02.2017).

5 Официальный сайт мессенджера WhatsApp [Электронный ресурс]. URL: https://https://www.whatsapp.com/ (Дата обращения: 27.09.2017).

6 WhatsAppEncryptionOverview [Электронныйресурс]. URL: https://www.whatsapp.com/security/WhatsApp¬Security¬Whitepaper.pdf (Дата обращения: 30.11.2016).

7 Cohn-Gordon, K. A Formal Security Analysis of the Signal Messaging Protocol [Электронныйресурс] / K. Cohn-Gordon, C. Cremers, B. Dowling, L. Garratt, D. Stebila. 2016. 30 pp. URL: https://eprint.iacr.org/2016/1013.pdf (Датаобращения: 20.02.2017)

8 Frosch, T. How secure is TextSecure? [Электронныйресурс] / T. Frosch, C. Mainka, C. Bader, F. Bergsma, J. Schwenk, T. Holz. 2014.17 p. URL: https://eprint.iacr.org/2014/904.pdf (Датаобращения: 20.02.2017)

9 Krawczyk, H. Cryptographic Extraction and Key Derivation: The HKDF Scheme [Электронныйресурс] / H. Krawczyk. 2010. 34 pp. URL: https://eprint.iacr.org/2010/264.pdf (Датаобращения: 20.02.2017)

10 Saritas, S. Analysis of Android random number generator. Ph.D. Theses [Электронныйресурс] / S.Saritas, Bilkent University. 2013. 84 pp. URL: http://www.thesis.bilkent.edu.tr/0006566.pdf (Дата обращения: 20.02.2017)

11 Атака QRLJacking доказывает небезопасность авторизации с использованием SQRL [Электронный ресурс]. URL: https://xakep.ru/2016/08/02/qrljacking/ (Дата обращения: 21.12.2016).

12 В WhatsApp найдена уязвимость, позволяющая читать сообщения [Электронный ресурс].URL:https://xakep.ru/2017/01/13/whatsapp-retransmission-problem/ (Датаобращения: 15.01.2017).