Эпоха феодализма: состояние рынка IM

Облачные сервисы
Карикатура XKCDСостояние рынка IM-мессенджеров точнее всего можно описать известной карикатурой XKCD (она слева). На протяжении 20 лет разные форматы возникали, покупались крупными компаниями, теряли популярность и предавались забвению. Универсальные открытые стандарты – IRC и XMPP (он же Jabber) – остались, но широкой популярности так и не получили. Во всяком случае, когда вы хотите найти другого человека или пообщаться с другом, вы будете (скорее всего) искать его не в IRC, а в Facebook.

Реализация сервиса, который позволяет общаться в виде единого потока сообщений, который работает на ПК и мобильных устройствах и синхронизируется в фоновом режиме между всеми устройствами, позволяет передавать файлы и изображения – непростая задача, но решаемая. Такие возможности реализованы в Google Hangouts, iMessage, Skype, WhatsApp.

Есть только одна проблема – все эти сервисы несовместимы друг с другом, и зачастую это сделано намеренно. У каждого сервиса есть база пользователей, и как только она становится значительной, ее удержание становится наиболее важной задачей. И таким образом, пользователи оказываются разбросанными по множеству не взаимодействующих друг с другом сервисов. Закончится ли это когда-нибудь? Будет ли когда-нибудь один сервис, один стандарт, с помощью которого можно будет отправлять сообщения кому угодно?

Читать дальше →

Обзор приложений безопасной связи

Криптография
Крипто IMСейчас криптография на слуху. Учитывая все увеличивающееся количество взломов, хаков, случаев утери данных и так далее этого следует ожидать – рано или поздно надоедает ждать, когда же грянет гром и люди начинают принимать превентивные меры. Эти желания можно только поприветствовать, благо уж когда-когда, а сейчас средства коммуникации со встроенной криптографической защитой наконец-то стали одновременно доступными, бесплатными и (относительно) простыми в использовании.

Здесь должно быть ликование и возгласы “наконец-то!!!”, ибо действительно, если не сейчас, то когда? По-хорошему уже поздновато. Но стоит оговориться, что слишком много рекламы криптографии и ее инструментов тоже могут быть злом – в конце концов, идеального невзламываемого шифра не существует (точнее, он существует – это так называемый шифр Вернама, но к реалиям массового применения в интернете он мало пригоден), как и идеально написанных приложений. И непонимание этих истин и несоблюдение простых правил предосторожности могут привести к печальным результатам даже при весьма совершенных технических средствах.

Учитывая что кем-то когда-то криптографические инструменты могут использоваться и для передачи информации действительно важной и опасной, стоит как следует задуматься: готовы ли вы довериться этим инструментами? И если да, то уж наверняка стоит быть весьма придирчивым в выборе.

Именно поэтому я расскажу сегодня о четырех приложениях, которые, похоже, наиболее известны прессе и публике. Я попробую показать их эффективность с таких позиций как Качество кода, Надежность криптографии и Простота использования соответственно, отражая главные требования к приложениям такого рода. Но сначала, небольшое лирическое отступление.

Приложения, о которых я буду говорить, далеко не единственные, обеспечивающие криптографическую защиту. Сейчас практически все сервисы связи (первое что приходит в голову – Skype, BBM, iMessage) рекламируют себя как «защищенные» и, в той или иной степени, соответствуют этим обещаниям. Но «в той или иной степени» нас не интересует. Так в чем проблема с большинством популярных решений?

Все просто – само шифрование может быть неуязвимым, но перед установлением связи абонентам необходимо как-то обменяться криптографическими ключами. Это самое слабое место, так как в угоду простоте и удобству обычно ключи хранятся и/или генерируются серверами сервиса. Соответственно, если сервер сервиса будет взломан злоумышленниками (или будет принужден к раскрытию ключей властями), то никакое шифрование не поможет. И с этого ракурса все популярные сервисы одинаково ненадежны. Все они полагаются на центральный сервер для генерации и распределения ключей шифрования, а в отдельных случаях еще и для их хранения.

Новое поколение систем криптосвязи создавалось уже с учетом этой проблемы. Они не требуют от вас доверия к себе, а некоторые даже включили вероятность утечки информации с их стороны в список потенциальных угроз. Как правило, они используют асинхронные шифры и применяют их на этапе отправки сообщения, то есть через сервер информация идет уже зашифрованной. Таким образом получение информации с сервера злоумышленнику ничего не даст. Для перехвата сообщения ему придется подменить одного из абонентов.

Итак, мы разобрались с проблемами — переходим к нашим претендентам.

Читать дальше →