UseCrypt Messenger sięga do historii

Jeśli chodzi o bezpieczeństwo współczesnego komunikatora UseCrypt Messenger, to producent zwraca uwagę na fakt, że na serwerze nie są przechowywane żadne dane ani metadane, ani tym bardziej żadne adresy IP użytkowników. Tak naprawdę to serwery UseCryptu nie uczestniczą w procesie kryptograficznym. Jedyne, co wymieniają, to cząstkowe informacje o parametrach szyfrowania, które pochodzą z obu urządzeń lub grupy urządzeń (jeśli uczestniczymy w grupowej konwersacji). W związku z tym dostawca usługi nie jest w stanie rozszyfrować danych, jakie przepływają przez serwer.

Podczas zakładania konta, gdy podajemy numer telefonu, widzimy potencjalnych znajomych z listy kontaktów telefonu, którzy już mają zainstalowany komunikator. Te dane na urządzeniu są przechowywane w postaci niezaszyfrowanej, lecz w trakcie odpytywania serwera komunikatora są one zamieniane w skrót kryptograficzny i w takiej zaszyfrowanej formie wysyłane, aby możliwe było połączenie się z drugą osobą. Zatem w przypadku fizycznego przejęcia urządzenia danych z komunikatora nie da się odzyskać. Ponadto ów skrót nie jest przechowywany stale na serwerze, w przeciwieństwie np. do rozwiązania Viber (który zbiera kopie numerów telefonów i kontaktów). Podobnie rzecz się ma z WhatsAppem, który wymienia wszystkie dane, kontakty oraz historię wiadomości z Facebookiem – w celach marketingowych. Jak czytamy w zapisach licencyjnych: WhatsApp zbiera i udostępnia mnóstwo danych o użytkowniku i dzieli się z nimi, i to nie tylko z Facebookiem, ale także z firmami współpracującymi z Facebookiem. Tak naprawdę, jeśli prywatność jest najważniejszym aspektem komunikatora, to korzystanie z WhatsAppa jest bardzo złym pomysłem. Jeśli nieposzanowanie prywatności jest dla użytkownika do zaakceptowania, nikogo nie będziemy zniechęcać. Szyfrowanie end-to-end zastosowane w WhatsAppie jest bezpieczne, natomiast to, co robi aplikacja z pozostałymi danymi, które są zapisane w telefonie, to całkiem inna historia.

Technicznie o UseCrypt

 

 

 

Schemat nawiązywania połączenia i negocjacji kluczy dla protokołu ZRTP na dwóch różnych urządzeniach.

 

W komunikatorze UseCrypt Messenger zastosowano kilka rodzajów szyfrowania, które zabezpieczają wiadomości tekstowe i rozmowy głosowe. Algorytmem, który szyfruje wiadomości tekstowe, jest TextSecure. Z kolei algorytm ZRTP odpowiada za obsługę całego protokołu odpowiedzialnego za realizację połączenia głosowego. W obu przypadkach protokoły te są dodatkowo wspierane przez AES-256.

Analizując powyższy schemat, zauważymy, że podczas nawiązywania połączenia z drugim człowiekiem, który używa UseCrypt Messenger, smartfon najpierw ustanawia zwykłe, nieszyfrowane połączenie. Następnie generuje klucz na podstawie protokołu ZRTP (Zimmermann & Real-time Transport Protocol). Po wynegocjowaniu kluczy na obu urządzeniach cała transmisja jest szyfrowana. Protokół ZRTP umożliwia wykrycie ataku MITM przez wyświetlanie krótkich haseł literowych. Rozmówcy powinni te hasła porównać ustnie — zapytać siebie nawzajem, co widzą na ekranie. Protokół ZRTP nie potrzebuje odwoływania się do żadnych serwerów, jednak komunikator z uwagi na charakter wymiany informacji pomiędzy odbiorcami wykorzystuje serwer pośredniczący, który nie przechowuje żadnych danych. W związku z tym cała operacja jest bardzo bezpieczna dla obu stron komunikacji.