Безопасность IP-телефонии: альтернатива Skype и WhatsApp

Безопасность IP-телефонии: альтернатива Skype и WhatsApp

Безопасность IP-телефонии: альтернатива Skype и WhatsApp

Практически каждый из нас привык пользоваться в повседневной жизни различными приложениями для звонков и отправки текстовых сообщений. У такого вида коммуникации есть неоспоримые плюсы: это удобно и зачастую бесплатно. Учитывая большое количество представленных мессенджеров и «звонилок», скорее всего, каждый пользователь рано или поздно задается вопросом — какие же из этих программ способны обеспечить максимальную безопасность?

 

 

1. Введение

2. Протокол XMPP (Extensible Messaging and Presence Protocol)

3. Протокол ZRTP

4. Приложение Signal

5. Безопасность видеозвонков: приложение Threema

6. Выводы

Введение

Skype был выпущен 29 августа 2003 года и на тот момент произвел революцию в программном обеспечении. Благодаря этой программе люди получили возможность звонить бесплатно, используя только интернет-соединение. Затем Skype был приобретен Microsoft, которая начала работать совместно с Агентством национальной безопасности (АНБ) в программе разведки PRISM — ее целью было получение доступа к частным вызовам и сообщениям, а также сбор информации.

Рисунок 1. Даты начала сбора информации PRISM для различных приложений

После этого Skype перестали считать безопасным для конфиденциальных данных. Однако пользователям могут помочь множество протоколов вкупе с безопасными приложениями для обмена сообщениями и видеозвонков.

Протокол Off-the-Record Messaging (OTR)

Off-the-Record Messaging (OTR) — криптографический протокол для систем мгновенного обмена сообщениями. Ключевыми особенностями OTR являются:

  • Шифрование. Все сообщения зашифрованы. Содержимое ваших сообщений не видно серверам.
  • Отсутствие идентификации. Отправленные вами сообщения не имеют цифровой подписи.
  • Аутентификация. Вы можете быть уверены в личности вашего собеседника.
  • Совершенная прямая секретность (Perfect forward secrecy, PFS). Если контроль над ключами утерян, предыдущие беседы не будут скомпрометированы.

Протокол XMPP (Extensible Messaging and Presence Protocol)

XMPP (ранее известный как Jabber) — расширяемый протокол обмена сообщениями и информацией о присутствии, позволяющий общаться текстовыми сообщениями, осуществлять звонки и видеовызовы. XMPP является безопасным и децентрализованным, так как каждый может запускать собственный XMPP-сервер.

Существует множество серверов, предлагающих создать учетную запись Jabber, здесь не важно, какой именно вы выберете. После того как запись будет создана, вы можете загрузить инструмент обмена мгновенными сообщениями, например pidgin. После запуска pidgin попросит вас создать новую учетную запись: выберите протокол XMPP, имя пользователя, которое указывали при регистрации аккаунта Jabber, имя сервера в качестве домена (например, jabber.org), пароль, который вы также создали при регистрации.

В «Дополнительных настройках» (Advanced) установите 5222 как порт по умолчанию и адрес вашего сервера. Для подключения через Tor в настройках «Прокси» (Proxy) установите 127.0.0.1 в качестве host и 9050 в качестве port. Нажмите «Сохранить», и вы закончите создание своей учетной записи.

Теперь вы можете активировать OTR в меню плагинов, установив флажок Messaging Off The Record. Когда вы начнете разговор с собеседником, в нижнем правом углу вы увидите надпись «Не приватный» (Not private). Кликнув на нее, можно начать приватный разговор.

Также вы можете отметить своего собеседника как прошедшего проверку. Если у него тоже есть OTR, вы увидите надпись «Непроверенный» (Unverified) возле его контакта. Нажмите на нее и выберите «Аутентифицировать друга» (Authenticate buddy). Для аутентификации есть несколько способов, например, можно попросить собеседника ответить на секретный вопрос.

Протокол ZRTP

Протокол ZRTP подойдет во всем, что касается зашифрованных вызовов. Это криптографический протокол согласования ключей шифрования, используемый в системах передачи голоса по IP-сетям. ZRTP осуществляет согласование ключей в том же потоке RTP, по которому установлена аудио- и видеосвязь, то есть не требует отдельного канала связи.

К примеру, приложение Silent Phone, разработанное Silent Circle, защищает вас от атак «Человек посередине», используя ZRTP для каждого вызова. Это просто пример, необязательно покупать Silent Phone, есть множество приложений, которые используют этот протокол по умолчанию.

Приложение Signal

Signal — это приложение с открытым исходным кодом, разработанное Open Whisper и доступное для Android и iOS. Signal использует ZRTP, чтобы пользователи могли совершать безопасные звонки. У этой программы есть интересный способ подтверждения подлинности контакта, с которым вы ведете диалог: вы открываете настройки, затем кликаете на «Проверить номер безопасности» (Verify safety number). Номер безопасности представляет собой 60-значный номер, который вы можете сравнить с одним из ваших контактов, чтобы убедиться, что ваш разговор является конфиденциальным. Предусмотрена также десктоп-версия приложения Signal.

Безопасность видеозвонков: приложение Threema

До этого момента мы говорили о безопасном обмене сообщениями и безопасном вызове, но если вы также хотите обезопасить свои видеовызовы, можно смело использовать Threema.

Чтобы использовать Threema, вам не понадобится указывать номер телефона, так как приложение генерирует специальный идентификатор. Это предоставляет вам полную анонимность, а также позволяет использовать Threema на устройствах без SIM-карты. Для верификации контактов в этом приложении можно использовать QR-код или сравнение ключей. Более того, сообщения, файлы и даже статусы зашифрованы сквозным шифрованием. У этого приложения также есть версия для настольных компьютеров, его можно использовать как в Chrome, так и в Firefox. Threema заявляет, что является независимой и самофинансируемой компанией.

Выводы

На сегодняшний день существует множество более безопасных альтернатив таким программам, как Skype или WhatsApp. Если вы задумываетесь над тем, как обеспечить конфиденциальность некоторых ваших переписок, звонков, или даже видеовызовов, вы, безусловно, сможете подобрать для себя нужный инструмент, который полностью удовлетворит ваши потребности и скроет ваши переговоры от третьих лиц.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru