Kybernetická bezpečnost 101: Jak vybrat a používat šifrovanou aplikaci pro zasílání zpráv

Obrázek Credits: Getty Images

Textové zprávy jsou tu s námi už od počátků mobilních technologií a daly vzniknout vlastnímu jedinečnému jazyku. Je však na čase posílání běžných SMS zpráv vypustit na pastvu.

Pokud máte iPhone, jste již na cestě. iPhony (stejně jako iPady a počítače Mac) používají k posílání zpráv mezi zařízeními Apple službu iMessage. Jedná se o datový systém zpráv závislý na sítích 3G, 4G a Wi-Fi, nikoli o zprávy SMS, které využívají starou, zastaralou, ale univerzální mobilní síť 2G. iMessage se těší stále větší oblibě, ale zařízení se systémem Android a další počítače zůstávají stranou.

Tady zaplnily mezeru na trhu jiné služby pro zasílání zpráv.

Aplikace jako Signal, WhatsApp, Wire a Wickr jsou také datové a fungují napříč platformami. A co je nejlepší, jsou šifrované end-to-end, což znamená, že odeslané zprávy jsou na jednom konci konverzace – v zařízení – zašifrovány a na druhém konci v zařízení příjemce odšifrovány. Díky tomu je téměř nemožné, aby kdokoli – dokonce i tvůrce aplikace – viděl, co se říká.

Mnoho populárních aplikací, jako je Instagram, Skype, Slack nebo Snapchat, šifrování end-to-end vůbec nenabízí. Facebook Messenger má možnost používat „tajné“ koncové šifrování zpráv, ale ve výchozím nastavení není zapnuto.

Tady je to, co byste měli vědět.

Proč nenávidět zprávy SMS?

SMS neboli služba krátkých zpráv je stará více než tři desetiletí. Je obecně spolehlivá, ale zastaralá, archaická a drahá. Existuje také několik důvodů, proč je zasílání zpráv SMS nezabezpečené.

Zprávy SMS nejsou šifrované, což znamená, že obsah každé textové zprávy je viditelný pro mobilní operátory a vlády a může být zachycen i organizovanými a částečně kvalifikovanými hackery. To znamená, že i když používáte SMS k zabezpečení svých online účtů pomocí dvoufaktorového ověřování, mohou být vaše kódy odcizeny. Stejně špatné je, že ze zpráv SMS unikají metadata, což jsou informace o zprávě, ale ne obsah samotné zprávy, například telefonní číslo odesílatele a příjemce, podle kterých lze identifikovat osoby zapojené do konverzace.

Zprávy SMS lze také podvrhnout, což znamená, že si nikdy nemůžete být zcela jisti, že zpráva SMS pochází od konkrétní osoby.

A nedávné rozhodnutí Federální komunikační komise nyní dává mobilním operátorům větší pravomoci k blokování zpráv SMS. FCC uvedla, že to sníží počet nevyžádaných zpráv SMS, ale mnozí se obávají, že by to mohlo být použito k potlačení svobody projevu.

Ve všech těchto případech je řešením aplikace pro šifrované zprávy.

Jaké jsou nejlepší aplikace pro šifrované zprávy?

Jednoduchou odpovědí je Signal, aplikace s otevřeným zdrojovým kódem a end-to-end šifrováním zpráv, která je považována za zlatý standard bezpečných spotřebitelských služeb pro zasílání zpráv.

Signal podporuje a šifruje všechny vaše zprávy, hovory a videochaty s ostatními uživateli Signalu. Někteří z nejchytřejších světových odborníků na bezpečnost a kryptografii si prohlédli a ověřili její kód a důvěřují jejímu zabezpečení. Aplikace používá jako kontaktní místo vaše mobilní telefonní číslo – což někteří kritizují, ale je snadné nastavit aplikaci s vyhrazeným telefonním číslem, aniž byste přišli o své vlastní mobilní číslo. Kromě vašeho telefonního čísla je aplikace od základu postavena tak, aby shromažďovala co nejméně metadat.

Nedávná vládní žádost o data společnosti Signal ukázala, že výrobce aplikace nemá téměř co předávat. Nejenže jsou vaše zprávy šifrované, ale každá osoba v konverzaci může nastavit vypršení platnosti zpráv – takže i v případě kompromitace zařízení lze nastavit, aby zprávy již zmizely. Pro další zabezpečení můžete do aplikace přidat také samostatnou zamykací obrazovku. A aplikace je stále silnější a silnější. Nedávno aplikace Signal zavedla novou funkci, která maskuje telefonní číslo odesílatele zprávy, takže lépe zajišťuje anonymitu odesílatele.

Ve skutečnosti však existuje mnohem diferencovanější odpověď než „prostě Signal“.

Každý má jiné potřeby, přání a požadavky. Podle toho, kdo jste, jaká je vaše práce a s kým komunikujete, se určí, která aplikace pro šifrované zprávy je pro vás nejlepší.

Signal může být oblíbenou aplikací pro riziková povolání – například novináře, aktivisty a vládní pracovníky. Mnozí zjistí, že například aplikace WhatsApp je dostatečně dobrá pro naprostou většinu těch, kteří chtějí jen mluvit se svými přáteli a rodinou, aniž by se museli obávat, že si někdo přečte jejich zprávy.

Možná jste v posledních letech slyšeli o aplikaci WhatsApp několik mylných informací, které byly vyvolány především nesprávnými a zavádějícími zprávami, které tvrdily, že existuje „zadní vrátka“ umožňující třetím stranám číst zprávy. Tato tvrzení byla nepodložená. WhatsApp skutečně shromažďuje některé údaje o svých 1,5 miliardy uživatelů, například metadata o tom, kdo a kdy koho kontaktuje. Tyto údaje mohou být předány policii, pokud o ně požádá na základě platného právního příkazu. Zprávy však nelze přečíst, protože jsou šifrovány end-to-end. Společnost WhatsApp nemůže tyto zprávy předat, ani kdyby chtěla.

Ačkoli si mnozí neuvědomují, že WhatsApp vlastní společnost Facebook, která v uplynulém roce čelila řadě skandálů týkajících se bezpečnosti a ochrany soukromí, společnost Facebook uvedla, že se zavázala udržovat zprávy WhatsApp ve výchozím nastavení šifrované od konce ke konci. Přesto je možné, že Facebook v budoucnu změní názor, uvedli bezpečnostní výzkumníci. Je správné zůstat obezřetný, ale WhatsApp je stále lepší používat pro posílání šifrovaných zpráv než vůbec.

Nejlepší radou je nikdy nepsat a neposílat ani přes end-to-end šifrovanou aplikaci pro zasílání zpráv něco, co byste nechtěli, aby se objevilo v soudní síni – pro všechny případy!“

Wire si užívá také mnoho lidí, kteří důvěřují této open-source multiplatformní aplikaci pro sdílení skupinových chatů a hovorů. Aplikace nevyžaduje telefonní číslo, místo toho volí uživatelská jména, což je pro mnohé, kteří chtějí větší anonymitu, lákavější než alternativní aplikace. Wire také podpořil svá tvrzení o end-to-end šifrování tím, že požádal výzkumníky o provedení externího auditu své kryptografie, ale uživatelé by si měli uvědomit, že výměnou za používání aplikace na jiných zařízeních znamená, že aplikace uchovává záznam všech, které jste kdy kontaktovali, v prostém textu.

iMessage jsou také šifrovány end-to-end a používají je miliony lidí po celém světě, kteří si pravděpodobně ani neuvědomují, že jejich zprávy jsou šifrovány.

K ostatním aplikacím je třeba přistupovat opatrně nebo se jim zcela vyhnout.

Aplikace jako Telegram byly odborníky kritizovány pro svou kryptografii náchylnou k chybám, která byla popsána jako „jako když vás bodnou vidličkou do oka“. A výzkumníci zjistili, že aplikace jako Confide, kdysi oblíbená mezi zaměstnanci Bílého domu, správně nezakódovávají zprávy, takže tvůrci aplikace mohou snadno tajně odposlouchávat něčí konverzaci.

Jak ověřit něčí identitu

Klíčovou otázkou v oblasti koncového šifrování zpráv je: jak poznám, že daná osoba je tím, za koho se vydává?

Každá aplikace pro koncové šifrování zpráv zachází s identitou uživatele jinak. Signal ji nazývá „bezpečnostní číslo“ a WhatsApp „bezpečnostní kód“. Všude se tomu říká „ověření klíče“.

Každý uživatel má svůj vlastní jedinečný „otisk prstu“, který je spojen s jeho uživatelským jménem, telefonním číslem nebo zařízením. Obvykle se jedná o řetězec písmen a číslic. Nejjednodušší způsob, jak ověřit něčí otisk prstu, je provést to osobně. Je to jednoduché: oba vytáhnete své telefony, otevřete konverzaci ve vybrané aplikaci pro šifrované zprávy a ujistíte se, že otisky prstů na obou sadách zařízení jsou naprosto stejné. Obvykle pak stisknete tlačítko „ověřit“ – a je to.

Ověření otisku prstu kontaktu na dálku nebo přes internet je složitější. Často vyžaduje sdílení otisku prstu (nebo snímku obrazovky) prostřednictvím jiného kanálu – například zprávy na Twitteru, na Facebooku nebo e-mailem – a ujištění, že se shodují. (Micah Lee z The Intercept přináší jednoduchý návod, jak ověřit identitu.)

Jakmile něčí identitu ověříte, nebude třeba ji znovu ověřovat.

Pokud vás aplikace upozorní, že se otisk prstu příjemce změnil, může to mít nevinný důvod – může mít nové telefonní číslo nebo odeslat zprávu z nového zařízení. Může to ale také znamenat, že se někdo snaží vydávat za druhou osobu ve vaší konverzaci. Bylo by správné být obezřetný a pokusit se znovu ověřit jeho identitu.

Některé aplikace se vůbec neobtěžují ověřit identitu uživatele. Například není možné zjistit, zda někdo tajně neslídí ve vašich konverzacích v iMessage, protože společnost Apple vás neupozorní, zda někdo tajně nesleduje vaši konverzaci nebo zda nějakým způsobem nenahradil příjemce zprávy jinou osobou.

Další informace o tom, jak aplikace Signal, WhatsApp, Telegram a Wire umožňují ověření klíčů a upozornění na jejich změnu, si můžete přečíst zde. (Pozor, spoiler: Signal je nejbezpečnější volbou.)

Je tu několik dalších tipů, které byste měli znát:

Zálohy šifrovaných zpráv obvykle nejsou šifrovány v cloudu: Při zálohování do cloudu nejsou vaše zašifrované zprávy často zašifrované. To znamená, že vláda může požadovat, aby poskytovatel cloudu – například Apple nebo Google – získal a předal vaše šifrované zprávy ze svých serverů. Pokud vás tato skutečnost znepokojuje, neměli byste své zprávy do cloudu zálohovat.

Dejte si pozor na desktopové aplikace: Jednou z výhod mnoha aplikací pro šifrované zprávy je, že jsou k dispozici na mnoha platformách, zařízeních a operačních systémech. Mnohé z nich nabízejí také verze pro stolní počítače, které umožňují rychlejší reakci. V posledních několika letech se však většina závažných zranitelností týkala chybného softwaru pro stolní počítače. Ujistěte se, že máte přehled o aktualizacích aplikací. Pokud aktualizace vyžaduje restart aplikace nebo počítače, měli byste to udělat ihned.

Nastavte si vypršení platnosti zpráv: Šifrování není magie; vyžaduje informovanost a rozvahu. Koncové šifrování zpráv vás nezachrání, pokud je váš telefon napaden nebo ukraden a k jeho obsahu se lze dostat. Rozhodně byste měli zvážit nastavení časovače vypršení platnosti svých konverzací, abyste zajistili, že starší zprávy budou smazány a zmizí.

Udržujte své aplikace aktualizované: Jedním z nejlepších způsobů, jak zajistit bezpečnost (a získat nové funkce!), je zajistit, aby vaše počítačové a mobilní aplikace byly aktualizovány. Bezpečnostní chyby se objevují často, ale ne vždy se o nich dozvíte. Aktualizace aplikací je nejlepší způsob, jak zajistit, abyste tyto bezpečnostní opravy dostali co nejdříve, a snížit tak riziko, že by vaše zprávy mohly být zachyceny nebo ukradeny.