Группа немецких аудиторов завершила проверку исходного кода популярного IM-мессенджера TextSecure, который встроен в операционную систему Cyanogenmod (более защищённая версия Android). За исключением одного бага, программа признана вполне надёжной.
Результаты аудита опубликованы в документе «Насколько безопасен TextSecure?». Аудиторы подчёркивают важность проведения подобных проверок, потому что в последнее время программы для защищённых коммуникаций становятся всё популярнее среди пользователей, при этом далеко не все они используют правильные криптосхемы.
«Мы первыми провели полный и подробно задокументированный анализ протокола передачи push-сообщений TextSecure, — пишут авторы. — Мы показали, что при условии аутентичности открытых ключей, такими же будут и ключи сообщений, и что блок шифрования TextSecure на самом деле обеспечивает разовое шифрование с подлинной подписью. Это доказывает пригодность push-сообщений TextSecure для удовлетворения аутентичности и конфиденциальности».
Автор программы TextSecure — известный криптограф Мокси Марлинспайк (Moxie Marlinspike), который в прошлом году не постеснялся вступить в заочную дискуссию с Павлом Дуровым и Telegram, резко осудив решение провести конкурс на взлом программы Telegram (кстати, в этом году конкурс повторяется).
Несколько дней назад Фонд электронных рубежей опубликовал сравнительную таблицу программ для передачи IM-сообщений. Это не аудит кода, а общий взгляд на состояние рынка. Программы сравниваются по семи характеристикам:
- Поддерживается ли шифрование при передаче?
- Шифрование защищает от провайдера сервиса?
- Можно ли проверить личности в контактах?
- Будут ли скомпрометированы ли прошлые коммуникации, если украдены ключи?
- Код открыт для независимой проверки?
- Система безопасности правильно задокументирована?
- Код проверялся?
Получается, что только 6 из 39 IM-мессенджеров можно назвать относительно безопасными.
