SIGNAL ПРЕДУПРЕЖДАЕТ ПОЛЬЗОВАТЕЛЕЙ ОСТЕРЕГАТЬСЯ “ОПАСНОЙ ДЕЗИНФОРМАЦИИ” ОТ TELEGRAM

10 мая президент Signal Мередит Уиттакер выступила с критикой в адрес Telegram. В своем посте на платформе X (ранее Twitter) она заявила:

«Telegram известен своей опасностью и регулярно сотрудничает с правительствами за кулисами, несмотря на свои большие заявления о свободе слова и конфиденциальности. Даже их ограниченное шифрование, которое надо самостоятельно настраивать, вызывает подозрения….»

Основатель Telegram Павел Дуров утверждал, что сообщения в Signal не такие приватные, как это есть на самом деле, и заявления компании о безопасности нельзя проверить. Это утверждение решительно опровергается Signal и широким криптосообществом.

Представители Signal сообщили, что заявления Telegram являются «еще одним примером знакомой схемы опасной дезинформации, которая имеет целью сбить людей с толку относительно уровня безопасности и конфиденциальности, который предоставляет Signal, с целью направить их к более подконтрольным и уязвимым платформам».

Почему это вообще важно?

Некоторые обвинения кажутся настолько надуманными и странными, что большинство людей, вероятно, сразу отвергают их как теорию заговора или тактику FUD. И хотя, безусловно, разумно оставаться скептиком в отношении неправдоподобных заявлений, все же стоит помнить, что на самом деле существует множество случаев, когда якобы безопасные сервисы коммуникации прослушивались или управлялись государственными учреждениями так, что пользователи этого не замечали.

Безопасность вне поля зрения

Каждый, кто знаком с безопасной связью, должен знать, что Telegram нельзя считать безопасным по современным отраслевым стандартам. Это прежде всего облачный мессенджер, а значит, сообщения постоянно хранятся на сервере без сквозного шифрования, а потому могут быть прочитаны в любой момент. Включить сквозное шифрование можно только в отдельных чатах.

Зато Signal пользуется большим уважением за свою криптографию, а Signal пользуется большим уважением за свою криптографию (и был вторым после Threema кросс-платформенным приложением для обмена сообщениями, предлагающим надежное сквозное шифрование). Однако Дуров утверждает, что сообщения Signal «важных людей», с которыми он общался, были использованы в американских судах или СМИ (вероятно, имея в виду Такера Карлсона, который недавно взял интервью у Дурова и ранее заявлял, что Агентство национальной безопасности США взломало его аккаунт в Signal).

Впрочем, подобных историй в интернете можно найти почти о любом защищенном чат-приложении. В тех случаях, когда это действительно так, органы власти, скорее всего, смогли получить физический доступ к мобильному устройству, которое также могло быть устройством одного из чат-партнеров подозреваемого. В резонансных случаях, конечно, также возможно, что устройство подследственного было заражено шпионским программным обеспечением на уровне операционной системы, и в этом случае все устройство скомпрометировано, а безопасность любого приложения, работающего на нем (включая Signal, Telegram и Threema), исчезает. Поэтому заявления Дурова о безопасности Signal не стоит воспринимать всерьез. Однак він звертає увагу на два інших моменти, які заслуговують на увагу.

Во-первых, он утверждает, что «точно такое же шифрование [как у Signal] реализовано в WhatsApp, Facebook Messenger, Google Messages и даже Skype«. Предположение, что причиной этого может быть то, что «крупным технологическим компаниям в США не разрешено создавать собственные протоколы шифрования, которые бы не зависели от вмешательства правительства», является очевидной тактикой FUD. Однако, стоит отметить, что iMessage, о котором Дуров забыл упомянуть, является единственным мейнстримным приложением для обмена сообщениями, разработанным в США, которое не полагается на шифрование Signal. И хотя не рекомендуется «внедрять собственное шифрование», монокультура, вероятно, тоже не является идеальной.

Во-вторых, Дуров упоминает, что в отличие от Signal, Telegram предлагает воспроизводимые сборки на обеих платформах, Android и iOS. Это действительно так. Signal (как и Threema) в настоящее время предлагает воспроизводимые сборки только на Android. Из-за ограничений со стороны Apple невозможно поддерживать воспроизводимые сборки на iOS простым и полностью удовлетворительным способом. Надо отдать должное Telegram за то, что они пошли навстречу и предоставили по крайней мере лучшее из доступных решений.

Сравнение сервисов обмена сообщениями

Конечно, воспроизводимые сборки Telegram для iOS – небольшое преимущество по сравнению с полным сквозным шифрованием Signal по сравнению с полным сквозным шифрованиеми переходить с Signal на Telegram из соображений безопасности (как это, очевидно, делают некоторые люди) – явная ошибка.

Однако, когда дело доходит до сравнения сервисов обмена сообщениями, все редко бывает так однозначно, как в этом случае. Как показывает любое сравнение мессенджеров, существует широкий спектр аспектов, которые влияют на общий уровень безопасности и защиты конфиденциальности коммуникационной службы. И даже самое полное сравнение может охватить лишь сравнительно небольшой перечень важных аспектов.

Более того, комбинация определенных факторов – это то, что действительно имеет значение на практике. Например, воспроизводимые сборки неожиданно играют очень важную роль, если сервис базируется в стране, где правительство может заставить разработчиков внедрять бэкдоры в свое программное обеспечение без разглашения.

Отчеты о правительственных связях и прозрачности

Утверждение Дурова о гранте в размере $3 млн, полученном Signal от Open Technology Fund, легко проверить. Однако непонятно, насколько это частичное начальное финансирование должно быть актуальным сегодня. (Для сравнения, Брайан Актон, сооснователь WhatsApp и нынешний генеральный директор Signal, вложил в Signal более $100 млн).

Однако не совсем понятно, что именно имеет в виду Виттакер, когда говорит, что Telegram «регулярно сотрудничает с правительствами за кулисами». Если она просто имеет в виду случаи, когда Telegram был вынужден соблюдать действующее законодательство, то вряд ли стоит об этом упоминать. С другой стороны, если она имеет какую-то внутреннюю информацию, было бы важно сообщить об этом пользователям Telegram.

Самое интересное, что, несмотря на обвинения друг друга в скрытых связях с правительством, ни одна из этих компаний не предоставила отчета о прозрачности, который бы соответствовал этому названию. Отчет о прозрачности Telegram можно с таким же успехом назвать «отчетом о непрозрачности». Он является региональным, доступен только через приложение Telegram и не дает никаких результатов по, например, Швейцарии, что очень сомнительно, учитывая размер базы пользователей Telegram. Попытки получить отчеты для других стран, таких как Германия или США, не дали результатов.

Signal имеет публично доступный отчет о прозрачности, однако он кажется чрезвычайно неполным и устаревшим. Он содержит только пять записей, последняя из которых датируется 2021 годом. Сравните это с Threema (170 официальных запросов только в 2023 году) или, например, с отчетом Proton (6 378 запросов в 2023 году). Просто не может быть, чтобы сервис такого размера, как Signal, получил только пять официальных запросов за почти десять лет. (Поскольку Signal базируется в США, вполне возможно, что они получили судебный запрет, который не позволяет им раскрывать или публиковать определенную информацию).

Решения для бизнеса

Если вы ищете надежное и безопасное решение для вашей компании, обратите внимание на Threema Work или Threema OnPrem.

Threema — швейцарский разработчик и ведущий поставщик безопасных и конфиденциальных решений для обмена мгновенными сообщениями.

Решение корпоративного класса Threema Work — это надежный бизнес-мессенджер, который соответствует требованиям GDPR. Платформа предлагает компаниям и организациям безопасные средства связи в виде приложения для обмена сообщениями, отвечающего самым высоким стандартам безопасности, благодаря сквозному шифрованию коммуникации. Сегодня разработками компании пользуются два миллиона пользователей из 7000 компаний, государственных учреждений, школ и организаций по всему миру для внутренней и внешней связи.