Группа немецких аудиторов завершила проверку исходного кода популярного IM-мессенджера TextSecure, который встроен в операционную систему Cyanogenmod (более защищённая версия Android). За исключением одного бага, программа признана вполне надёжной.

Результаты аудита опубликованы в документе «Насколько безопасен TextSecure?». Аудиторы подчёркивают важность проведения подобных проверок, потому что в последнее время программы для защищённых коммуникаций становятся всё популярнее среди пользователей, при этом далеко не все они используют правильные криптосхемы.

«Мы первыми провели полный и подробно задокументированный анализ протокола передачи push-сообщений TextSecure, — пишут авторы. — Мы показали, что при условии аутентичности открытых ключей, такими же будут и ключи сообщений, и что блок шифрования TextSecure на самом деле обеспечивает разовое шифрование с подлинной подписью. Это доказывает пригодность push-сообщений TextSecure для удовлетворения аутентичности и конфиденциальности».

003

004

005

Автор программы TextSecure — известный криптограф Мокси Марлинспайк (Moxie Marlinspike), который в прошлом году не постеснялся вступить в заочную дискуссию с Павлом Дуровым и Telegram, резко осудив решение провести конкурс на взлом программы Telegram (кстати, в этом году конкурс повторяется).

Несколько дней назад Фонд электронных рубежей опубликовал сравнительную таблицу программ для передачи IM-сообщений. Это не аудит кода, а общий взгляд на состояние рынка. Программы сравниваются по семи характеристикам:

  1. Поддерживается ли шифрование при передаче?
  2. Шифрование защищает от провайдера сервиса?
  3. Можно ли проверить личности в контактах?
  4. Будут ли скомпрометированы ли прошлые коммуникации, если украдены ключи?
  5. Код открыт для независимой проверки?
  6. Система безопасности правильно задокументирована?
  7. Код проверялся?

006

Получается, что только 6 из 39 IM-мессенджеров можно назвать относительно безопасными.

8 комментариев

  1. 06.11.2014 at 11:45

    Может быть исходного кода, а не года? Когда уже в еблет будут прописывать за непроверенный текст?

  2. 07.11.2014 at 00:36

    Silent Phone и Silent Text разве открыли свой код для проверки?

  3. 07.11.2014 at 14:21

    Галимая реклама! Telegramчик миленький и родной при установке не требует ни каких данных,теперь попробуйте устанвоить textsecure. Сплошное разочерование в мире криптографии

  4. 07.11.2014 at 19:22

    стремно ставить с такими permissions.

  5. 09.11.2014 at 05:43

    Tor тоже был признан хорошо защищённым.

Оставить мнение