Шифрования сообщений вконтакте методом AES для браузеров Chrome и Firefox

Что же, если вы являетесь счастливым обладателем устройства под управлением Android 4.0+, то вам сможет помочь приложение “Вк Шифр”.

Нетрудно догадаться по названию, что его главной функцией является шифрование вашей переписки Вконтакте. Но давайте рассмотрим приложение немного подробнее.

После того, как вы его установите, нужно будет зайти в свой ВК-аккаунт, и в этом вам поможет встроенный ВК-клиент. При наличии на телефоне приложения Вконтакте, нужно будет просто дать “Вк Шифр” разрешение на доступ к диалогам, группам, списку ваших друзей, и т.д., при отсутствии такового – ввести данные и авторизоваться.

Далее загружается список диалогов. Выбираем нужный, видим историю сообщений и начинаем общаться. Через вкладку “Друзья” на левой панели навигации можно сделать аналогичные вещи. Все весьма просто и интуитивно понятно.

Переходим к главной функции приложения, а именно – к шифрованию сообщений. Почувствовать себя шпионом также оказалось нетрудно: всплывающий экран объяснил, что необходимо кликнуть по пустому квадрату внизу экрана, после чего в нем должна появиться галочка. И это все! В этом режиме все сообщения будут отправляться зашифрованными. В вашем приложении ВК это будет выглядеть приблизительно так: “3q4eqd!NB?+8LsaZLs”. Одинаковые слова в разных диалогах шифруются по-разному, что оставило приятное впечатление о технической части проекта.

Если вы не помните, отправили вы сообщение зашифрованным или нет (такое может случиться, если вы засиделись в приложении), в истории переписок есть замочек рядом с каждым сообщением, который вам в этом поможет. Пустой говорит о том, что вы просто отправили сообщение, закрашенный – об обратном. Если снимете галочку, сообщения будут отправляться “рядовым” образом (незашифрованными).

Теперь несколько слов о вложениях. К сообщению можно прикрепить ваши аудио, видео (или использовать поиск) или фото из любой галереи вашего телефона. Именно здесь я заметил одну из самых интересных функций приложения – шифрование вложений. В браузере или ВК-приложении это будет выглядеть, как 3-4 строки непонятного текста, но прикрепленной картинки, аудио или видео вы не увидите! Таким образом, к списку причин в начале статьи присоединится шифрование фотографий, которые будут видны только вам и собеседнику, уверен, именно эта функция будет чаще всего использоваться.

Ну а сейчас несколько слов о минусах (по крайней мере, о тех, которые я заметил). Видно, что приложение разрабатывала не профессиональная команда, что проявляется:

(объективно)

(субъективно, чего лично мне не хватает)

В завершение скажу, что по обновлениям приложения заметил, что команда старается и добавляет новые функции, так что есть надежда, что со временем они и до моих минусов доберутся (не считая предпоследнего, конечно). Думаю, проект смело можно назвать интересным, т.к. аналогов для Android я так и не нашел.

Также у приложения нет платных версий или внутренних платежей, а это говорит о следующем: разработчики дали пользователю весь контент, который смогли реализовать на данный момент, что я считаю похвальным (лично мне уже осточертели урезанные версии продуктов в виде программ/компьютерных игр/приложений).

В связи с этим я бы поставил твердые 8 баллов из 10 возможных, 4 звезды из 5, 12,8 бит из их 16-битного ключа (см. описание на Google Play, и да, я знаю, что бит – “неделимая частица” для программистов), как хотите.

Вот и все, что я хотел сказать по данному приложению. Уже лично порекомендовал его своим друзьям, если не для постоянного пользования, то хотя бы ради интереса.

Спасибо за терпение, благодаря которому вы дочитали мой обзор! Всего вам доброго!

Георгий

Используемое автором устройство: Samsung Galaxy J500

Как использовать шифрование сообщений в Slack

Вы когда-нибудь боялись, что вас начальник может прочитать сообщения в секретном канале, в котором вы делитесь мемами с котятами с вашим коллегой? Или вы не доверяете своему однокурснику, который создал канал Slack якобы для обсуждения спортивных событий, а на самом деле хочет получить доступ к вашим личным сообщениям?

Теперь ситуация улучшится. Разработан инструмент, который работает поверх Slack и позволяет вам зашифровывать сообщения, чтобы их мог прочитать только отправитель, а также адресат или несколько адресатов. Инструмент, разработанный компанией MindedSecurity, получил название Shhlack и доступен в виде браузерного расширения или патча для приложения Slack для Windows, Mac или Linux.

Если вы еще не знали, то действительно, ваш руководитель мог читать ваши сообщения Slack, независимо от того, в каком канале вы их отправляли. Администраторы Slack (которые могут быть в числе работников IT-подразделения вашей организации) получали доступ к сообщениям в пределах вашего рабочего пространства Slack. Недавнее обновление мессенджера упрощает администраторам задачу выгрузки журнала сообщений, включая личные сообщения.

Конечно, в наши дни многие приложения, в частности Signal, Wire, Wickr и другие, предлагают сквозное шифрование для коммуникаций. Это означает, что сообщений обрабатываются таким образом, что никто, кроме участников беседы, не может прочитать их содержимое. Однако, в Slack нативный инструмент для шифрования сообщений не предусмотрен.

Главный специалист по технологиям MindedSecurity Стефано Ди Паола отмечает:

Shhlack – экспериментальный проект с очень конкретной целью: простое в использование решение для безопасной передачи личных сообщений. Мы создали данный инструмент для защиты определенных сообщений от регистрации в Slack и экспорта в виде открытого текста.

Инструмент построен на базе JavaScript библиотеки CryptoJS. Shhlack сложнее и менее безопасен в использовании, чем другие средства шифрования сообщений. В отличие от Signal и других приложений для сквозного обмена сообщениями, Shhlack работает с так называемыми заранее установленными ключами совместного использования (PSK). Это значит, что сам инструмент не управляет ключами шифрования. Вам и вашему собеседнику нужно поделиться ключами самостоятельно. Вам надо будет отправить ключ шифрования в виде парольной фразы, прежде чем вы запустите первый зашифрованный чат Slack. Ключ надо отправить по другому каналу коммуникации, а не через Slack, в противном случае это нивелирует цель использования Shhlack. Воспользуйтесь Signal или передайте парольную фразу на листочке в реальном мире.

На данный момент Shhlack доступен в виде расширения для Chrome — это самый простой способ использовать инструмент. Имейте в виду, что в этом случае сообщения будут зашифрованы только, если вы используете Slack в браузере Chrome. Вы также можете установить патч для приложения Slack для Windows, Mac или Linux, следуя инструкциям Ди Паолы на странице Shhlack в GitHub.

Во время тестирования расширение для Chrome оказалось очень простым в использовании. В принципе, все, что вам нужно сделать — это установить расширение, поделиться секретной фразой и начать чат.

После установки Shhlack, рядом с диалоговым окном сообщения Slack появится яркий замок. Вы можете отправить зашифрованное сообщение, щелкнув по значку яркого замка или нажав Alt + S.

На этом этапе убедитесь, что вы используете кодовую фразу, которую вы отправили другу или коллеге. Все участники чата, получившие общий ключ, смогут читать сообщения. Остальные пользователи увидят бессмысленный набор символов.

Shhlack прекрасно работает даже в групповых чатах, где только один человек должен читать ваши сообщения.

Ди Паола отмечает, что Shhlack еще находится в разработке и его нужно улучшать. В частности, разработчики попытаются реализовать протокол Signal, чтобы отказаться от использования PSK ключей и повысить уровень защиты.

Шифруйся грамотно! Почему мессенджеры не защитят тайну твоей переписки

Содержание статьи

Шифрование в мессенджерах

Написать эту статью меня подтолкнуло исследование Obstacles to the Adoption of Secure Communication Tools (PDF). Как выяснили его авторы, «подавляющее большинство участников опроса не понимают основную концепцию сквозного шифрования». Проще говоря, люди обычно выбирают мессенджер сердцем, а не мозгом.

Начнем с того, что E2EE имеет свои особенности в каждом мессенджере. В Signal оно почти образцовое. В WhatsApp формально такое же, как в Signal, за исключением одного очень важного момента: смена основного ключа абонента WhatsApp не блокирует отправку ему сообщений. Максимум можно включить бесполезное уведомление (которое отключено в дефолтных настройках). В Viber сквозное шифрование неактивно по умолчанию, да и появилось только в шестой версии. В Telegram E2EE также используется только в секретных чатах, причем реализованы они довольно странно.

Конфликт Роскомнадзора с Telegram вообще создал отличную рекламу последнему. Рядовые пользователи теперь считают творение Дурова настоящей занозой в спине спецслужб (или чуть пониже ее), которые ничего не могут сделать с пуленепробиваемым инновационным сервисом. Поклонники Telegram сравнивают его с Signal и утверждают о превосходстве первого.

Однако в криптографии не бывает чудес, и особенно — в прикладной. Многие математически красивые идеи оказываются безнадежно испорчены реализацией, когда удобство и подконтрольность ставят выше безопасности и приватности (а так происходит практически всегда).

Исходно в мессенджерах применялся протокол OTR (Off-the-Record). Он использует симметричное шифрование AES в режиме CTR, протокол обмена ключами DH и хеш-функцию SHA-1. Схема AES-CTR обеспечивает так называемое «спорное» (в хорошем смысле) шифрование и возможность отрицания авторства текста, если его перехватят. Всегда можно сослаться на то, что перехвативший трафик сам изменил шифротекст так, чтобы он соответствовал другому варианту расшифровки той же длины. Например, вместо «сходи за хлебом» получилось «отрави королеву» — технически это возможно, и такое свойство специально заложено в алгоритм.

Протокол OTR выполняет аутентификацию собеседников и шифрует переписку между ними. Он безопасен до тех пор, пока участники разговора регулярно проверяют отпечатки открытых ключей друг друга и противостоят атакам по другим векторам (включая социальный инжиниринг).

Главный недостаток OTR заключается в том, что после отправки нового ключа требуется дождаться подтверждения от собеседника. Если он офлайн, то связь будет временно невозможна. Одним из выходов стал алгоритм Double Ratchet (DR), разработанный пять лет назад Тревором Перрином и Мокси Марлинспайком в Open Whisper Systems. Сегодня DR используется в Signal, WhatsApp, Viber и многих других мессенджерах, поддерживающих сквозное шифрование по умолчанию или как отдельную опцию (секретные чаты).

Упрощенная схема алгоритма Double Ratchet (источник: signal.org). Алиса и Боб начинают сессию, обмениваясь публичными ключами

Сквозное шифрование

Схема E2EE использует комбинацию из криптографических систем с открытым и закрытым ключом. Она очевидна в общих чертах и довольно сложна на уровне деталей. В ней используется масса взаимосвязанных ключей, часть из которых обязательно попадает на сервер и, более того, обязательно загружается на него до начала переписки, чтобы ее можно было начать в произвольный момент. Давай рассмотрим ее подробнее.

Начало схемы ты наверняка знаешь, поскольку оно стандартно для всех систем асимметричного шифрования, — генерируется пара ключей. Это необходимо потому, что криптосистемы с одним ключом (вроде AES) использовать в переписке в чистом виде слишком трудно. С ними пришлось бы как-то организовывать защищенный канал для передачи ключа (например, встречаться лично), а потом делать это снова при каждой его смене.

Тут же все как в привычном PGP: есть два собеседника (Алиса и Боб), каждый из которых генерирует свою пару ключей. Затем они обмениваются публичными ключами, сохраняя в тайне парные им секретные. Публичные ключи передаются по открытому каналу (на то они и публичные, пусть перехватывают на здоровье) и служат для двух целей: они позволяют зашифровать сообщение и проверить его подпись. Соответственно, секретные ключи используются для расшифровки и формирования подписи.

Термин «сообщение» используется здесь в широком смысле. Сообщением может быть текст, медиафайл или служебные метаданные, которыми мессенджер обменивается с сервером. Часть этих данных содержит временные метки, состояние клиентского приложения и новые ключи.

Такая криптосистема кое-как работает в электронной почте, поскольку это сервис для доставки отдельных зашифрованных сообщений произвольной длины. Пользуясь им, собеседники не обязаны одновременно быть онлайн. Все сообщения накапливаются на сервере и скачиваются с него по требованию после того, как пользователь успешно пройдет авторизацию. Расшифровка происходит локально при помощи секретных ключей, которые никуда не передаются. Почта с PGP популярна, но работает далеко не идеально. Почему? См. статью «Алиса и Боб в стране PGP».

К сожалению, в чистом виде схема асимметричного шифрования также не годится для мессенджеров, поскольку эти сервисы ориентированы на интенсивную онлайновую переписку в виде цепочки коротких сообщений. Они должны отображаться в строго определенном порядке, а собеседник может в любое время оказаться офлайн и нарушить структуру диалога.

К тому же шифровать множество коротких сообщений одним ключом — плохая идея. Всего за день переписки их создаются сотни (если не тысячи). Во многих сообщениях количество шифротекста минимальное и предсказуемое (смайлик, стикер). Также у них есть стандартные заголовки, которые упрощают криптоанализ.

Особенность переписки в мессенджерах в том, что из-за типовых метаданных за короткое время атакующий может перехватить большой объем предсказуемого шифротекста. Его львиная доля будет соответствовать известному открытому тексту. Если она будет шифроваться одним ключом, то при успешной атаке окажутся скомпрометированными все ранее написанные сообщения и даже те, которые собеседники напишут в будущем.

Чтобы этого не происходило, в мессенджерах предусмотрены такие свойства, как прямая и обратная секретность. Они подразумевают невозможность прочитать отправленные ранее и написанные в будущем сообщения, имея на руках только текущий ключ шифрования. Для этого используется многослойное шифрование с переходом от асимметричной к симметричной криптографии и дополнительные ключи с разным временем жизни.

Диффи, Хеллман! Дайте три!

Из открытой документации известно, что в Telegram аутентифицированное распределение ключей обеспечивает классический протокол Диффи — Хеллмана (DH). Он создает мост между асимметричным (RSA) и симметричным (AES) шифрованием, давая возможность энному количеству собеседников вести зашифрованную переписку, передав только публичные ключи по открытому каналу. Для этого в нем генерируются сессионные ключи, представляющие собой общий секрет или общий эфемерный ключ. Он вычисляется на основе секретного ключа одного собеседника и публичного ключа другого. Эфемерные ключи аутентифицируются долговременными открытыми ключами.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

18 расширений для безопасного и приватного сёрфинга в Chrome

Защитите себя от вирусов и рекламного мусора, используйте VPN и надёжно храните пароли при помощи этих расширений.

Блокировщики рекламы

1. AdBlock Plus

Это расширение нужно устанавливать в Chrome первым, и вряд ли кто-то не слышал о нём. AdBlock Plus блокирует рекламу, баннеры, всплывающие окна, рекламные объявления и прочий мусор на веб-страницах. Кроме того, это расширение предостерегает вас от посещения известных доменов, содержащих вредоносное ПО, а также отключает некоторые скрипты отслеживания.

AdBlock Plus неплохо настраивается. Вы можете создавать чёрные и белые списки для блокировки или, наоборот, разрешения показа элементов веб-страниц. Можете блокировать отдельные элементы, просто указывая на них мышью. Или можете просто установить AdBlock Plus и забыть о нём: он справится с рекламой без чьей-то помощи.

Кстати, вот дополнительные списки AdBlock Plus для тех, кто хочет избавиться от рекламы на YouTube и в Facebook. Главное — не забудьте добавить Лайфхакер в исключения.

2. uBlock Origin

Альтернатива AdBlock Plus, практически такая же функциональная, но настраивается более гибко. Ещё это расширение несколько сложнее в освоении для начинающего пользователя.

Если вы хотите, чтобы блокировщик рекламы делал всё за вас, устанавливайте AdBlock Plus. Если вы хотите контролировать всё сами, выбирайте uBlock Original. Большое количество опциональных фильтров для этого расширения можно найти здесь.

3. ScriptSafe

ScriptSafe отключает запуск всех сценариев на веб-страницах: Java, JavaScript, Flash и так далее. Это мощный и гибкий инструмент для продвинутого пользователя. Но учтите, ScriptSafe очень агрессивен и может ломать разметку на многих сайтах, если не настроить его надлежащим образом.

Инструменты антитрекинга

4. Ghostery

Ghostery блокирует отслеживание сайтами файлов cookie и скриптов. При щелчке по кнопке расширения, Ghostery отобразит, что именно оно заблокировало, так что вы сможете выбрать, какие виды трекинга блокировать, а какие можно и оставить. Функция Ghostery Enhanced Anti Tracking, по заявлению разработчиков, обезличивает ваши данные для большей защиты конфиденциальности.

5. Disconnect Private Browsing

Ещё одно расширение, повышающее конфиденциальность. Disconnect позволяет блокировать инструменты веб-сайтов, отслеживающие вас, останавливает сбор ваших данных со стороны Facebook, Google, Twitter и так далее.

Кроме того, расширение защищает вас от вредоносного ПО и заражённых ресурсов. В Disconnect Private Browsing имеется функция Secure Wi-Fi, которая может защитить вашу домашнюю сеть.

6. Privacy Badger

Аналогичное расширение для автоматической защиты браузера от трекеров, которые незаметно загружаются при просмотре веб-страниц. Вы можете легко настроить параметры автоматической блокировки с помощью кнопки расширения на панели браузера.

Менеджеры паролей

7. LastPass

Расширение популярнейшего сервиса хранения паролей LastPass. Умеет генерировать стойкие ко взлому пароли и автоматически вводить их при необходимости.

8. CKP

Альтернатива chromeIPass, которой не нужен установленный клиент KeePass. Может подхватывать пароли как из локальной базы, так и из Dropbox или Google Drive.

9. Blur

Аналог LastPass. Помимо генерации паролей, может использоваться для маскировки ваших email-адресов, чтобы предотвратить получение спама и повысить конфиденциальность.

VPN-расширения

10. Hideman

Hideman подключает ваш Chrome к VPN с 256-битным шифрованием. Помимо обеспечения приватности, расширение может быть также использовано для борьбы с цензурой. Вы можете выбирать из нескольких бесплатных VPN-серверов, расположенных в разных странах.

11. ZenMate VPN

Ещё одно расширение для шифрования трафика через VPN с удобным интерфейсом и неплохим набором функций. Обеспечивает приватный и анонимный веб-сёрфинг и обход блокировок.

12. TunnelBear

TunnelBear — очень популярный VPN-сервис. С этим расширением вы не только сможете обходить блокировки, но и защитите свои данные от утечки: например, в общественной сети Wi-Fi.

Защита от вирусов

13. Avast Online Security

Расширение от разработчиков популярного антивируса Avast. В нём есть функция защиты от фишинговых атак и автоматическое исправление ошибок в URL-адресе, чтобы вы не попали на поддельный веб-сайт. Также Avast Online Security предостерегает вас от перехода на заражённые или скомпрометированные веб-сайты.

14. Онлайн-антивирус Dr.Web

Расширение от антивируса Dr.Web для проверки веб-страниц и ссылок. Можно запустить из контекстного меню и убедиться, что сайт, который вы собираетесь открыть, не заражён.

Прочее

15. HTTPS Everywhere

Ещё одно расширение Chrome, повышающее безопасность интернет-сёрфинга. Оно принудительно переключает соединение с небезопасного протокола HTTP на шифрованный HTTPS везде, где это возможно.

ВКонтакте введёт end-to-end шифрование в ответ на действия Роскомнадзора

Этой ночью Роскомнадзор заблокировал несколько IP-адресов различных сервисов, включая ВКонтакте. В компании отказались комментировать «ошибочную» блокировку, но решили дать ей отпор.

ВКонтакте планирует ввести end-to-end шифрование для голосовых и видеовызовов.

Одна из основных технологий, которая гарантирует безопасность данных — end-to-end шифрование, которое происходит на конечном устройстве пользователя. Передача каких-либо ключей и получение доступа к информации за пределами устройства невозможна по определению.

Так работают большинство ведущих сервисов обмена сообщениями в мире. Оконечное шифрование позволяет обеспечить конфиденциальность разговоров и защиту от получения к ним доступа третьей стороной.

Мы видим, как из-за непонимания принципов работы современного интернета ограничивается доступ к множеству ресурсов. Полностью или частично недоступны сервисы, которыми пользуются миллионы людей. Это ограничивает или усложняет работу бизнесов, в первую очередь технологических.

Вы и сами могли с этим столкнуться — вчера был заблокирован один из наших IP-адресов, в результате чего часть пользователей ВКонтакте временно лишилась доступа к социальной сети. Также из-за нестабильной работы после блокировок РКН нам пришлось отключить интеграцию сервиса ReCaptcha, который ВКонтакте использует для борьбы со спамом, и поддержку технологии AMP, позволяющей мгновенно открывать внешние страницы в наших мобильных приложениях.

Мы чувствуем ответственность за коммуникацию десятков миллионов людей, и делаем свой вклад в развитие безопасного общения. В ближайшее время мы запустим голосовые и видеозвонки с end-to-end шифрованием.

Это значит, что никто кроме Вас и Вашего собеседника никогда не сможет получить содержимое разговора. Уже сейчас end-to-end шифрование начинает использоваться повсеместно — и мы верим, что стремление к безопасному общению интернет-пользователей не станет причиной исчезновения средств коммуникации. Прогресс неостановим. — Андрей Рогозов, управляющий директор ВКонтакте

Кажется, действия Роскомнадзора не радуют даже крупнейшие компании рунета.

Из-за блокировки IP-адресов Яндекса и ВКонтакте пострадала часть пользователей. Компании заботятся о них и решили перестать идти на поводу у ведомства. Наступило время контрмер. [ВКонтакте]

(Нет голосов)

CryptoData от Oleksandr

Легко и быстро зашифровать/расшифровать:
Частные сообщения в электронной почте, блогах, социальных сетях, форумах, web-страницы, изображения и т.д.
Поддержка: Firefox, Thunderbird и SeaMonkey

Метаданные расширения

Используется

Это расширение позволяет шифровать и расшифровывать части текста: выделенный или введенный вручную текст, а так же web-сайт целиком.
Процесс шифрования построен на основе стандарта Advanced Encryption Standard (AES)
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard

Всё шифрование и дешифрование производится только на стороне клиента без вмешательства внешних средств или веб-служб.

Примеры шифрования отдельного текста и web-сайта:
http://www.s3blog.org/crypto-data/examples.html

• Для пользователей:
  Просто выберите зашифрованный или незашифрованный текст в вашем веб-браузере, откройте контекстное меню нажатием правой кнопки мыши, и вы можете легко зашифровать или расшифровать любой текст.
  Так же имеется возможность автоматической расшифровки.
• Для вебмастеров:
  С помощью этого расширения вы можете зашифровать на сервере любой контент, например html, javascript или картинки.
  Даже если web-сайт использует защищенное HTTPS-соединение, а на его страницы требуется http-авторизация, то это еще не означает, что вы полностью защищены!
  Существует множество способов украсть вашу информацию, например используя прокси, сниффер или троянскую программу (например такую как Zeus)
  Но при использовании дополнения CryptoData злоумышленник получит только набор бесполезных символов!
  Для удобства вебмастеров CryptoData передает на зашифрованный сайт cookie s3crypt_site_enable = true. Присутствие этого параметра может сообщить сайту о том, что на клиенте установлен CryptoData и можно передавать зашифрованный контент.

CryptoData для SeaMonkey, PaleMoon, Thunderbird, Firefox ver.

Сообщить о нарушении правил этим дополнением

Если вы считаете, что это дополнение нарушает политики Mozilla в отношении дополнений, или имеет проблемы с безопасностью или приватностью, сообщите об этих проблемах в Mozilla, используя эту форму.

Не используйте эту форму, чтобы сообщать об ошибках или запрашивать новые функции в дополнении; это сообщение будет отправлено в Mozilla, а не разработчику дополнения.

Разработчик этого расширения просит вас помочь поддержать его дальнейшее развитие, внеся небольшое пожертвование.

Это дополнение может:

• Помещать данные в буфер обмена
• Показывать вам уведомления
• Получать доступ ко вкладкам браузера
• Получать доступ к вашим данных на всех сайтах

Узнать больше о разрешениях