В сегодняшнем моем дерзком и беспристрастном обзоре — разбор двух популярных мессенджеров — Signal и Telegram.
Оба приложения кричат о высокой безопасности для пользователей, но, как водится, дьявол в деталях (и в настройках по умолчанию).
Содержание:
Шифрование: «по умолчанию» или «спрятано в подвале»
Signal — этакий перфекционист: сквозное шифрование (E2E) включено всегда и для всех. Даже групповые чаты защищены протоколом mpOTR, будто заговорщики из шпионского фильма.
Telegram же предпочитает играть в прятки. Хотите E2E? Включите «секретный чат», который исчезнет при перезагрузке. Обычные же переписки хранятся в облаке, «удобно зашифрованные» (считай что — Telegram может их прочитать). Да-да, их стандарт безопасности слабее, чем у WhatsApp, где E2E включен всегда. Но кто об этом беспокоится?
Хранение данных: облако vs локальная крепость
Telegram обожает облака. Ваши чаты синхронизируются между устройствами, но ключи шифрования лежат на их серверах. «Распределены по юрисдикциям!» — гордо заявляют разработчики Телеги. Однако если хакеры (или правительства) взломают серверы, ваши секреты станут достоянием общественности. Особенно весело в странах, где Telegram любят запрещать, но всё равно используют.
Signal же — аскет. Сообщения хранятся локально в зашифрованной SQLite-базе. Никаких облаков, только ваш телефон и паранойя. Даже если сервера Signal взорвутся, ваши переписки останутся в тайне.
Метaданные Signal и Telegram: кто шпионит за вами?
Telegram собирает всё: IP-адреса, историю изменений имени, модель устройства. Хранят 12 месяцев — вдруг вам захочется вспомнить, как вас звали в прошлом году?
Signal же скромничает: только дата регистрации и последний вход (без точного времени). Даже когда правительство стучится к ним с ордером, им дают ответ в стиле «извините, больше данных нет».
Социальный граф: кто знает ваши контакты и друзей?
Telegram, как и WhatsApp, загружает всю вашу адресную книгу в облако. Даже если ваша тётя Маша не использует Telegram, они уже знают, что она существует.
Signal использует Intel SGX — технологию, которая прячет ваши контакты в «сейф» на сервере. Даже взломщик с доступом к серверу увидит только шифрованный мусор. Правда, эксперты кибербезопасности ворчат, что SGX — не панацея. Но лучше это, чем облако с открытым доступом…
Исходный код: прозрачность или «доверьтесь нам»
Signal открыл весь код: клиенты, серверы — проверяйте хоть ночью.
Telegram же прячет серверную часть. «Клиенты открыты!» — говорят они. Ага, как будто дверь в доме открыта, но «подвал засыпан бетоном».
Протоколы: проверенные vs «свое изобретение»
Signal использует распространенный протокол, который взяли на вооружение WhatsApp, Skype и даже FB. Его проверяли вдоль и поперёк, а «ратчетинг» меняет ключи для каждого сообщения. Взломали один? Остальные — уже мусор.
Telegram упорно юзает MTProto — свой «уникальный» протокол. Криптографы хватаются за голову: «Где аудиты? Где годы тестов?». Хотя EFF хвалит их секретные чаты, но, как говорится, «дьявол скрыт в реализации».
Власть и цензура: кто гнётся под режим?
Telegram — любимец авторитарных режимов. В 2017-м они закрыли канал иранской оппозиции «по просьбе властей». Телега постоянно критикуется за использование в различных «цветных революциях» и демонстрациях оппозиций разных стран мира. А ещё их публичные каналы — рай для пропаганды и фейков.
Signal же хранит минимум данных. Даже если какое-то правительство придет с ордером, им дадут… почти ничего.
Итоги для любителей повышенной безопасности:
Signal — эталон. Шифрует всё, не собирает лишнего, открытый код.
Telegram — удобный, но с компромиссами. «Секретные чаты» — хорошо, но основная переписка — слабое звено.
Выбор за вами: хотите ли вы безопасность «из коробки» или готовы играть в «найди E2E» ради стикеров и облака. Как говорил Эдвард Сноуден: «Если вы не платите за продукт, вы и есть продукт».
Комментируйте. Важна ли вам безопасность в мессенджере, или и так сойдет.. Интересно услышать ваше мнение.
Новые комментарии: