Signal попереджає користувачів остерігатися «небезпечної дезінформації» від Telegram

10 травня президент Signal Мередіт Віттакер виступила з критикою на адресу Telegram. У своєму дописі на платформі X (раніше Twitter) вона заявила:

«Telegram відомий своєю небезпекою і регулярно співпрацює з урядами за лаштунками, попри свої великі заяви про свободу слова та конфіденційність. Навіть їх обмежене шифрування, яке треба самостійно налаштовувати, викликає підозри.…»

Засновник Telegram Павел Дуров стверджував, що повідомлення в Signal не такі приватні, як це подається, і заяви компанії про безпеку не можна перевірити. Це твердження рішуче спростовується Signal та широкою криптоспільнотою.

Представники Signal повідомили, що заяви Telegram є «ще одним прикладом знайомої схеми небезпечної дезінформації, яка має на меті збити людей з пантелику щодо рівня безпеки та конфіденційності, який надає Signal, з метою спрямувати їх до більш підконтрольних та вразливих платформ».

Чому це взагалі важливо?

Деякі звинувачення здаються настільки надуманими та дивними, що більшість людей, ймовірно, відразу відкидають їх як теорію змови або тактику FUD. І хоча, безумовно, розумно залишатися скептичним стосовно неправдоподібних заяв, все ж варто пам’ятати, що насправді існує безліч випадків, коли нібито безпечні сервіси комунікації прослуховувалися або управлялися державними установами так, що користувачі цього не помічали.

Безпека поза увагою

Кожен, хто знайомий з безпечним зв’язком, повинен знати, що Telegram не можна вважати безпечним за сучасними галузевими стандартами. Це насамперед хмарний месенджер, а значить, повідомлення постійно зберігаються на сервері без наскрізного шифрування, а тому можуть бути прочитані в будь-який момент. Увімкнути наскрізне шифрування можна лише в окремих чатах.

Натомість Signal користується великою повагою за свою криптографію (і був другим після Threema крос-платформним додатком для обміну повідомленнями, що пропонує надійне наскрізне шифрування). Проте Дуров стверджує, що повідомлення Signal “важливих людей”, з якими він спілкувався, були використані в американських судах або ЗМІ (ймовірно, маючи на увазі Такера Карлсона, який нещодавно взяв інтерв’ю у Дурова і раніше заявляв, що Агентство національної безпеки США зламало його акаунт у Signal).

Втім, подібних історій в інтернеті можна начитатися майже про будь-який захищений чат-додаток. У тих випадках, коли це дійсно так, органи влади, швидше за все, змогли отримати фізичний доступ до мобільного пристрою, який також міг бути пристроєм одного з чат-партнерів підозрюваного. У резонансних випадках, звичайно, також можливо, що пристрій підслідного був заражений шпигунським програмним забезпеченням на рівні операційної системи, і в цьому випадку весь пристрій скомпрометований, а безпека будь-якого додатка, що працює на ньому (включаючи Signal, Telegram і Threema), зникає. Тому заяви Дурова про безпеку Signal не варто сприймати серйозно. Однак він звертає увагу на два інших моменти, які заслуговують на увагу.

По-перше, він стверджує, що “точно таке ж шифрування [як у Signal] реалізовано в WhatsApp, Facebook Messenger, Google Messages і навіть Skype“. Припущення, що причиною цього може бути те, що “великим технологічним компаніям у США не дозволено створювати власні протоколи шифрування, які б не залежали від втручання уряду”, є очевидною тактикою FUD. Однак, варто зазначити, що iMessage, про який Дуров забув згадати, є єдиним мейнстрімним додатком для обміну повідомленнями, розробленим в США, який не покладається на шифрування Signal. І хоча не рекомендується ” впроваджувати власне шифрування”, монокультура, ймовірно, теж не є ідеальною.

По-друге, Дуров згадує, що на відміну від Signal, Telegram пропонує відтворювані збірки на обох платформах, Android та iOS. Це дійсно так. Signal (як і Threema) наразі пропонує відтворювані збірки лише на Android. Через обмеження з боку Apple неможливо підтримувати відтворювані збірки на iOS простим і повністю задовільним способом. Треба віддати належне Telegram за те, що вони пішли назустріч і надали принаймні найкраще з доступних рішень.

Порівняння сервісів обміну повідомленнями

Звичайно, відтворювані збірки Telegram для iOS – невелика перевага порівняно з повним наскрізним шифруванням Signal, і переходити з Signal на Telegram з міркувань безпеки (як це, очевидно, роблять деякі люди) – явна помилка.

Однак, коли справа доходить до порівняння сервісів обміну повідомленнями, усе рідко буває так однозначно, як у цьому випадку. Як показує будь-яке порівняння месенджерів, існує широкий спектр аспектів, які впливають на загальний рівень безпеки та захисту конфіденційності комунікаційної служби. І навіть найповніше порівняння може охопити лише порівняно невеликий перелік важливих аспектів.

Більше того, комбінація певних факторів – це те, що дійсно має значення на практиці. Наприклад, відтворювані збірки несподівано відіграють дуже важливу роль, якщо сервіс базується в країні, де уряд може змусити розробників впроваджувати бекдори у своє програмне забезпечення без розголошення.

Звіти про урядові зв’язки та прозорість

Твердження Дурова про грант у розмірі $3 млн, отриманий Signal від Open Technology Fund, легко перевірити. Однак незрозуміло, наскільки це часткове початкове фінансування має бути актуальним сьогодні. (Для порівняння, Брайан Актон, співзасновник WhatsApp і нинішній генеральний директор Signal, вклав у Signal понад $100 млн).

Однак не зовсім зрозуміло, що саме має на увазі Віттакер, коли каже, що Telegram “регулярно співпрацює з урядами за лаштунками”. Якщо вона просто має на увазі випадки, коли Telegram був змушений дотримуватися чинного законодавства, то навряд чи варто про це згадувати. З іншого боку, якщо вона має якусь внутрішню інформацію, було б важливо повідомити про це користувачам Telegram.

Найцікавіше, що, попри звинувачення одне одного у прихованих зв’язках з урядом, жодна з цих компаній не надала звіту про прозорість, який би відповідав цій назві. Звіт про прозорість Telegram можна з таким же успіхом назвати “звітом про непрозорість”. Він є регіональним, доступний лише через додаток Telegram і не дає жодних результатів по, наприклад, Швейцарії, що є дуже сумнівним, враховуючи розмір бази користувачів Telegram. Спроби отримати звіти для інших країн, таких як Німеччина чи США, не дали результатів.

Signal має публічно доступний звіт про прозорість, однак він здається надзвичайно неповним та застарілим. Він містить лише п’ять записів, останній з яких датується 2021 роком. Порівняйте це з Threema(170 офіційних запитів лише у 2023 році) або, наприклад, зі звітом Proton (6 378 запитів у 2023 році). Просто не може бути, щоб сервіс такого розміру, як Signal, отримав лише п’ять офіційних запитів за майже десять років. (Оскільки Signal базується у США, цілком можливо, що вони отримали судову заборону, яка не дозволяє їм розкривати чи публікувати певну інформацію).

Рішення для бізнесу

Якщо ви шукаєте надійне та безпечне рішення для вашої компанії, зверніть увагу на Threema Work або Threema OnPrem.

Threema — швейцарський розробник і провідний постачальник безпечних і конфіденційних рішень для обміну миттєвими повідомленнями.

Рішення корпоративного класу Threema Work — це надійний бізнес-месенджер, який відповідає вимогам GDPR. Платформа пропонує компаніям та організаціям безпечні засоби зв’язку у вигляді додатка для обміну повідомленнями, що відповідає найвищим стандартам безпеки, завдяки наскрізному шифруванню комунікації. Сьогодні розробками компанії користуються два мільйони користувачів із 7000 компаній, державних установ, шкіл та організацій у всьому світі для внутрішнього та зовнішнього зв’язку.