Секретный "провод"

Снести из смартфона все самые модные и популярные приложения – святое дело любого активного пользователя, да и просто свободного человека. Тем более когда существует несколько альтернативных месседжеров, на которые стоит обратить внимание.

В современном мире анонимность связи — критична, такую анонимность могут обеспечивать мессенджеры с end-to-end шифрованием. End-to-end означает, что шифрование происходит на стороне пользователей. Дальнейшая коммуникация происходит уже в зашифрованным виде и даже в случае перехвата не может быть доступна третьим лицам без наличия ключей шифрующих сторон. Однако, существует много «подводных камней» и для обычного человека  зачастую очень тяжело разобраться во всех нюансах.

Некоторые популярные месенджеры, например, такие как WhatsApp, создают мастер-ключи при генерации пользовательских ключей и передают их полиции или спецслужбам. Что в свою очередь позволяет служителям закона беспрепятственно получить доступ ко всему содержимому переписки.

На 100% сегодня никто не может быть уверен в безопасности коммуникаций. Но существуют верные показатели добропорядочности создателей мессенджеров, такие как открытость кода, протокола и аудит, проведенный третьими сторонами.

И следуя этим принципам мы хотим представить вашему вниманию темную лошадку в мире безопасных мессенджеров, встречайте, Wire Messenger.

Компания Wire, основанная в 2012 году и располагающаяся в Швейцарии, поддерживается спонсором Skype Янусом Фрисом. Wire - это приложение под iOS, Android, MacOS, Windows, Linux и Web для обмена зашифрованными сообщениями с приятным интерфейсом и открытым кодом. Недавно компания опубликовал результаты стороннего аудита своего шифровального протокола Proteus и его реализации на различных платформах.

Стоит отметить, что в отличии от других популярных мессенджеров с e2e шифрованием, для пользования Wire не обязательно подтверждать или даже предоставлять свой номер телефона.

На данный момент приложение остается бесплатным, но Wire заявляет, что в этом году будет внедряться и платные услуги.

Важная деталь в мире безопасности - постоянию на июнь 2018, при поиске в открытой американской системе ведения уголовно процессуальных дел PACER, Wire не отвечал на запросы американских спецслужб и поиск по ключевым словам Wire Messenger результатов не дает (для сравнения, поиск по словам Whatsapp, Facebook и другие дают десятки тысяч результатов).

Несмотря на наличествующие проблемы, видно, что авторы активно ведут разработку мессенджера и Wire вполне может стать достойной альтернативой или даже заменой другим популярным приложениям.

Технический обзор

Платный аудит был проведенный для Wire сразу двумя исследователями безопасности Жан-Филиппом Аумассоном из Kudelski Security и Маркусом Вервиром из X41 D-Sec. В своем отчете они пишут: «Обзор охватывает реализацию Proteus на всех платформах, где доступен Wire - iOS, Android, MacOS, Windows, Linux и Wire для Интернета, которые работают в современных браузерах, поддерживающих webRTC».

Внешний аудит, как нельзя более к месту для Wire, в свете недавнего сообщения об обнаруженной критической ошибке, которое было опубликовано в Twitter и привлекло внимание сообщества безопасности.

Также аналитики безопасности Wire провели «работу над ошибками» и идентифицировали некоторые другие проблемы с программным обеспечением - включая ошибку, позволяющую передавать и обрабатывать недопустимые открытые ключи. Рецензенты описывают рассмотренные компоненты как имеющие «высокую безопасность» благодаря новейшим криптографическим протоколам и алгоритмам, а также методикам разработки программного обеспечения, уменьшающим риск наличия ошибок.

Хотя протокол Signal отличается от Proteus, оттуда были заимствованны некоторые компоненты с открытым исходным кодом, написанные создателями Signal Protocol, Open Whisper Systems.

На своем сайте создатели Wire утверждают, что регулярно проводят внешние обзоры безопасности, в силу того, что активная разработка приложения продолжается.

«Каждое крупное обновление Wire будет проходить тщательный аудит безопасности», - пишетут авторы программы. «Мы продолжим сотрудничество с экспертами, такими как Kudelski Security и X41 D-Sec».

В настоящий момент полный код клиента Wire находится на GitHub.

На сегодняшний день приложение отвечает основным стандартам безасности и удобства интерфейса. Месседжер был неоднократно протестирован отечественными и заграничными специалистами, которые дали нам рекомендации - проблемы безопасности, несомненно, существуют, но они не значительные и находятся на уровне его аналогов. В то время, как существенным плюсом является то, что при регистрации не требуется указывать никаких персональных данных.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/ruonionblog