Секретные рецепты
Когда передал по Whatsapp зашифрованные 256 бит шифрованием файлы "Передайте_сосиски_для_картошки. zip" и "Высылаю_рецепт_новогоднего_пирога. zip"
Показать полностью
1
0 просмотренных постов скрыто
Переписки, которые иностранцы не смогут расшифровать))
Как-то, помнится, в старые добрые времена, а точнее, в середине 2000х мы с друзьями по школе создавали такие вот "шифры", и переписывались)) Свои поймут, конечно, но вот американские шпиёны - неть XD. Да просто было по приколу, поржать. Приятно удивилась, когда начала писать "в прикол" так дочери-подростку моей подруги и она не только поняла меня, но и поддержала тему😁 Не все потеряно в нынешнем поколении)))
Показать полностью
3
Силовики вели тайную пиар-кампанию против WhatsApp под видом борьбы с педофилами
The Record: МВД Британии спонсировало пиар-кампанию против сквозного шифрования
Министерство внутренних дел Великобритании тайно спонсировало пиар-кампанию против технологии сквозного шифрования (E2EE, end-to-end encryption) под видом борьбы с педофилами. Об этом стало известно журналистам издания The Record, которые уточняют, что E2EE внедрена или будет внедрена в ближайшее время в WhatsApp, Facebook Messenger и Instagram.
Журналисты опубликовали сведения о том, что правительство страны, в частности МВД Британии, выделило 534 тысячи фунтов стерлингов (около 56 миллионов рублей) коалиции No Place to Hide («Негде спрятаться»). Ранее ее члены заявляли, что коалиция спонсируется «рядом организаций, представляющих интересы британского общества», включая благотворительные объединения и разработчиков технологий информационной безопасности. Организация также вела борьбу с представителями глобальных соцсетей и оказывала на них давление.
Когда сведения о причастности британского правительства к кампании были обнародованы, правозащитники выразили опасения, что настоящая цель No Place to Hide — расширение практики глубокого вмешательства государства в дела граждан страны и слежка за их частными переписками.
Коалиция No Place to Hide легально проводит информационную кампанию в стране с января 2002 года. Ее основной задачей заявляется противодействие сексуальным преступлениям против детей. Создатели проекта подчеркивают, что сквозное шифрование, обеспечивающее конфиденциальность переписок, очень важно для большинства жителей мира. Однако они отмечают, что из-за этой меры соцсети больше не смогут фиксировать случаи домогательств в отношении детей.
«Если планы по внедрению E2EE будут реализованы, мы перестанем ежегодно получать информацию примерно о 14 миллионах сообщений, в которых содержатся сведения о сексуальном насилии над детьми в интернете. Это может иметь катастрофические последствия для безопасности», — говорится на сайте коалиции.
СМИ ENG
Показать полностью
Защищено сквозным шифрованием
Показать полностью
1
Спецслужбы получат доступ к интересующим их перепискам в WhatsApp
С этой целью разработчики планируют ослабить сквозное шифрование. Это решение было принято компанией Facebook, которая полностью владеет мессенджером на данный момент, и стало результатом давления со стороны американских властей, которые продолжают напоминать, что террористы любят использовать сервисы обмена сообщениями для организации терактов и других противозаконных акций.
В следующем году планируется выпуск версии, в которой условное шифрование будет реализовано таким образом, что спецслужбы смогут при желании расшифровать любую переписку.
Кроме того, перед владельцами WhatsApp встал вопрос получения дохода от мессенджера. Что, в свою очередь, привело к решению внедрить в него рекламу.
Whatsapp хранит переписку на смартфоне в открытом виде
Disclaimer:Однажды, почти случайно, залез я посмотреть что хранит Whatsapp в своих базах данных на смартфоне. Изначально цель была не эта, но потом стало интересно.
Пост несёт сугубо информативно-познавательный характер, не несёт в себе призывов к действию. За рейтингом не гонюсь, можете минусить, но советую сначала прочесть
Мой смартфон — на андроиде. Поскольку есть рут и я не боюсь экспериментов над своим девайсом, мне не составляет труда изредка пользоваться приложением, название которого я не назову :) Во-первых, это может спровоцировать кого-то на неразумные действия в чей-то адрес, а такую ответственность брать на себя мне не хочется, а во-вторых, пикабушники люто не одобряют рекламные (либо похожие на таковые) посты.
Приложение позволяет на рутованном андроиде включать и отключать разные компоненты других приложений, например, выключить активность ("окно"), которое отображает полноэкранную рекламу, либо выключить сервис, в фоне отправляющий какую-то инфу чёрт знает кому. А также даёт просматривать и изменять хранимые другими приложениями данные в их базах данных.
В андроиде есть встроенный механизм баз данных (на движке SQLite). Мулечка в том, что любое приложение может иметь БД в защищённом хранилище системы, где будет накапливать и хранить свои данные. Это если на пальцах объяснять, более опытные разработчики могут внести дополнения в комментах.
Я не силён в шифрованиях, устройстве мессенджеров и шизой на тему информационной безопасности не страдаю. Однако обнаружил любопытную вещь.
После появления Телеграма, Whatsapp начал хвастаться сквозным шифрованием. Даже если оно есть по факту и работает, то почему в БД этого месссенджера хранятся все данные в открытом виде и никак (от слова совсем) не зашифрованы?
Отправляю тестовое сообщение:
Смотрю в базу (БД msgstore, таблица messages):
Список всех баз данных:
Там хранятся различные настройки, которые в рамках данного поста неинтересны.
Список всех таблиц самой интересной БД msgstore:
Если вкратце, тут хранятся служебные данные о чатах, местоположениях и всяком таком.
В том числе — сами переписки.
Список чатов (таблица chat_list). Это тот список контактов, с которыми у вас уже начато общение, и который вы видите в первую очередь, открывая приложение.
Ещё раз покажу таблицу messages — список всех сообщений.
Отображается ИД собеседника (поле key_remote_jid, значения включают номер телефона), само сообщение в открытом виде (data), Unix-метка даты сообщения (timestamp), прямая ссылка на медиа-контент (адрес ведёт на сервера Whatsapp; поле media_url), подпись к медиа-контенту в открытом виде (к фотографии, например; поле media_caption)и много чего ещё.
Поле data пустое там, где вместо чистого текста отправлено, например, фото или состоялся звонок.
Ссылка на медиа примерно следующая:https://mmi652.whatsapp.net/d/кучарандомныхсимволов/кучадруг...
Эту ссылку можно открыть в браузере. Если она действительна, то скачивается файл file.enc, который, к счастью, зашифрован: это может быть фото, аудио, видео, что угодно ещё. Если ссылка оказывается недействительной, то в браузере ответом будет строка Media object not found.
Ниже таблица messages_fts_content (есть ещё аналогичная messages_fts). Тут тоже сообщения, и они тоже в открытом виде. Предназначение таблицы мне непонятно, ибо детально не разбирался.
Чем это опасно?
Если смартфон попадёт в руки опытного и знающего подлеца, получить все ваши переписки в Whatsapp ему не составит никакого труда. Вообще никакого. Защищены только медиафайлы, которые зашифрованы и хранятся на серверах WA.
К слову, для тех, кто не в курсе: это объясняет тот факт, что после удаления папки Whatsapp из памяти телефона, где хранится кеш фотографий, зашифрованные бекапы чатов и прочее, медиа-контент заново выкачивается при открытии чата.
Послесловие
На закуску — вот что хранит Telegram. Одна БД, предназначенная для сбора статистики об использовании приложения для отправки в Google. И все таблицы этой БД пусты!
Может быть, это общеизвестный факт в кругах (около)айтишников, но знать об этом надо каждому. Подумайте, прежде чем отдавать смартфон, например, в сервисный центр (увы, там часто работают нездоровые идиоты) или подпускать к нему идиота типа меня :)
Всем добра!
БМ сходил с ума от скриншотов.
Показать полностью
10
End-to-End шифрование в месседжере WhatsApp. Шифрование медиа и звонков.
Доброго дня, пикабушники!
В продолжении темы со сквозным шифрованием WhatsApp: http://pikabu.ru/story/endtoend_shifrovanie_v_messedzhere_wh...
В прошлый раз я остановился на шифровании прикрепляемых файлов.
Медиа и другие прикрепляемые файлы шифруются алгоритмом AES256 в режиме сцепления блоков (Cipher block chaining mode). Особенностью данного режима является то, что шифрование следующего блока зависит от предыдущего результата шифрования (иллюстрация ниже).
Это снижает статистические особенности начальной информации, что уменьшает риск расшифровки сообщения при перехвате. Ключ шифрования генерирует отправитель и добавляет к нему свою подпись. Сам файл заливается в хранилище, а в письме получателю высылается ключ для расшифрования и ссылка на файл. Получатель загружает файл, сверяет подпись и если все хорошо, дешифрует его.
Групповые сообщения
Эта часть является наиболее интересной, как мне кажется. Типовые мессенджеры для групповых общений без шифрования передают одно и то же сообщение N - 1 раз (N — количество участников). Это решение является простым и лаконичным. Многие мессенджеры с шифрованием для группы шифруют сообщение для каждого из участников, что повышает нагрузку на Ваше устройство (100 участников — 99 раз шифруем).
В WhatsApp решили применять схему с отправкой одного сообщения всем участникам группы. Сначала участники договариваются об одном общем ключе. Точнее его им выдает создатель группы. Secret получается методом, схожим с тем, который описан в секции “создание защищенной сессии” в предыдущем посте. Только с тем нюансом, что secret получается только из данных создателя группы. Затем создатель шифрует secret для каждого участника его открытыми ключами, полученными с сервера. После этих шагов все участники имеют идентичные ключи и могут общаться в группе.
Теперь участникам конференции не требуется шифровать сообщение для каждого клиента в группе. Если кто-то выходит из группы, то все ключи обновляются для устранения утечек.
Голосовые звонки
Для передачи голосовых звонков используется стандарт sRTP, который применяется для потоковой передачи медиаданных. Сам стандарт внутри себя содержит шифрование SIP/TLS. Метод шифрования очень схож с тем, что применяется в HTTPS.
Проверка ключей
Последней интересной особенностью WhatsApp является возможность проверки открытых ключей, которые были получены с сервера. Это можно сделать либо с помощью сканирования QR-кода с экрана проверяемого устройства, либо вводом 60-значного ключа.
Такая проверка позволяет убедиться, что открытые ключи проверяемого абонента на Вашем устройстве подлинные, что исключает атаку “человек посередине”.
На этом тему с WhatsApp можно закрыть. Спасибо за Ваши отзывы!
sRTP: https://www.rfc-editor.org/rfc/rfc3711.txt
WhatsApp Encryption Overview: https://www.whatsapp.com/security/WhatsApp-Security-Whitepap...
Показать полностью
2
End-to-End шифрование в месседжере WhatsApp
Здравствуйте, друзья! После предыдущего поста на меня подписалось аж 55 человек, за что Вам большое спасибо! Также хочу выразить благодарность людям, которые указывали на недочеты — это помогает делать материал лучше.
Некоторые читатели предыдущего поста задавали вопросы про End-to-End шифрование (оно же сквозное) и просили рассказать о нем подробнее. Чтобы не было разночтений, буду писать на примере сквозного шифрования в месседжере WhatsApp.
Описание системы шифрования есть в оригинальной статье на английском (ссылка в конце статьи). Повествование хочется сделать доступным для большинства людей, поэтому математические преобразования не привожу. Они есть в оригинале, если Вам это интересно.
Для начала немножко теории. Почти все современные средства шифрования используют криптографию с открытым ключом (асимметричная криптография). Ключ представляет из себя пару чисел, которые называют открытым и закрытым ключами. Между этими ключами есть зависимость: один ключ шифрует — другой дешифрует. Существуют различные варианты использования этих ключей в зависимости от алгоритма.
Современная асимметричная криптография использует эллиптические кривые ввиду того, что при меньшей длине ключа она гарантирует большую стойкость взломам. А некоторые реализации “эллиптических” алгоритмов работают намного быстрее “классических”. Одним из таких алгоритмов является Curve25519, который используется в криптографическом протоколе Signal, используемом в WhatsApp.
В приложении используются три основных типа ключей:
1. Ключ идентификации (Identity key pair) — генерируется при установке приложения. Как правило, меняется только принудительно или при переустановке приложения.
2. Ключ подписи (Signed key pair) — генерируется при помощи идентифицирующего ключа и периодически изменяется.
3. Набор одноразовых ключей (One-time pre keys) — набор ключей, которые используются для различных нужд, пополняются постоянно.
Из основных ключей генерируются сессионные ключи:
1. Корневой ключ (Root key) — используется для создания цепи ключей.
2. Цепь ключей (Keys Chain) — используется для создания Ключей сообщения.
3. Ключ сообщения (Message Key) — 80-байтовое значение для шифрования сообщений, из них 32 используется для AES-256, 32 для HMAC-SHA256 (подпись) и 16 для IV. Ключ для шифрования сообщений.
При регистрации клиент отправляет на сервер публичные идентифицирующий, подписывающий и одноразовые ключи. Сервер хранит эти ключи, но не имеет к ним доступа. Закрытые части ключей хранятся только на устройстве абонента.
Создание защищенной сессии
Перед тем как общаться, клиенты должны инициализировать сессию. После настройки зашифрованного сеанса, его не нужно перестраивать. Новый сеанс требуется только в случае переустановки приложения или смене устройства одним из пользователей.
Алгоритм создания защищенной сессии:
A — клиент, который инициирует первое соединение
B — клиент, которому нужно доставить сообщение
1. A запрашивает открытые ключи (идентифицирующий, подписывающий и одноразовый (один)) B с сервера.
2. Сервер возвращает эти ключи. Одноразовый ключ удаляется с сервера.
Если на сервере нет одноразовых ключей, а B не может пополнить их (оффлайн), то сервер не вернет публичный одноразовый ключ.
3. A сохраняет ключи B.
4. Из своих и ключей B A получает секретное выражение (secret), которое будет использовано для получения корневого ключа и цепи ключей.
5) A передает слепок своих ключей, чтобы B смог получить идентичное выражение (secret). B удаляет одноразовый ключ, который был использован A для создания секрета.
После этих шагов оба абонента имеют одинаковый secret и генерируют идентичные ключи сессии.
Шифрование сообщений
Для шифрования используется блочный алгоритм шифрования AES-256. Предположу, что дело в более высокой скорости работы и надежности данного алгоритма, чем большинства асимметричных.
Ключ цепи и корневой ключ генерируются алгоритмом Диффи-Хеллмана на эллиптических кривых. Ключ цепи обновляется после каждого использования. Тут есть важный момент, который отмечают сами авторы криптографической системы. Так как цепочка используется для одного сообщения один раз, то сообщения должны приходить в строгой последовательности (цепочка обновляется только вперед). Пока нам не придет предыдущее сообщение, мы не сможем расшифровать следующее.
Вместо заключения
Действия, описанные выше гарантируют, что Ваша переписка останется тайной для всех, кроме Вашего собеседника. Конечно, если Вы не потеряете телефон, т.к. в этом случае сообщения уже будут расшифрованы на Вашем устройстве.
Если Вам интересна данная тематика, то в следующем посте могу рассказать о том, как шифруются прикрепляемые файлы, групповые сессии и голосовые вызовы.
Спасибо Вам за то, что прочитали! :)
Ссылки:
WhatsApp Encryption Overview: https://www.whatsapp.com/security/WhatsApp-Security-Whitepap...
Эллиптическая криптография: теория: https://habrahabr.ru/post/188958/
Небольшая справка о Curve25519: https://habrahabr.ru/post/247873/
Показать полностью
1