Сучасні інформаційні технології/4.Інформаційна
безпека.
Кобенко
А.А.1,Захарова М.В.2, Люта М.В.1
Київський
національний університет технологій та дизайну1
Черкаський
державний технологічний університет2, Україна
Аналіз механізмів захисту веб-систем обміну
повідомленнями
Безпека веб-систем в Інтернеті – одна з найважливіших
проблем нинішнього часу. Сьогодні мільйони користувачів
мережі Інтернет спілкуються за допомогою електронного листування. Тому питання
захисту повідомлень, забезпечення їх конфіденційності, цілісності та
автентичності є пріорітетним завданням.
Мета
даної роботи –
проаналізувати механізми захисту веб-систем, що дозволить підвищити рівень
безпеки обміну повідомленнями між користувачами в мережі Інтернет.
Для
забезпечення захисту веб-систем використовують такі механізми захисту як:
шифрування, авторизація і аутентифікація.
Шифрування
– оборотне перетворення інформації з метою
приховування від неавторизованих осіб, з наданням, в цей же час, авторизованим
користувачам доступу до неї [1]. Звичайна електронна пошта (наприклад, Gmail)
використовує HTTPS протокол для підтримки шифрування з метою підвищення
безпеки. Протокол HTTPS на початку адресного рядка свідчить про те, що для
шифрування передачі даних між комп'ютером і серверами сервісу використовуються
криптографічні протоколи SSL або TLS. Недоліком технології HTTPS є те, що при
спілкуванні двох користувачів дані проходять через централізовані сервера, які
мають ключі для розшифровки інформації. Щоб виключити спробу розшифровки даних,
підвищивши таким чином приватність, можна використовувати наскрізне шифрування.
Технологія
захисту даних end-to-end шифрування (E2ЕE) за рахунок використання криптографічних ключів
передбачає, що контроль над листуванням здійснюються безпосередньо
користувачами, а розшифрувати повідомлення не можуть ні перехоплювачі, ні
навіть сервера, які передають дані. Наскрізне шифрування массово використовують
популярні месенджери. Месенджер – це програма для швидкого обміну повідомленнями між
користувачами. Наразі месенджери доступні на всіх платформах, але найбільше їх
використовують в iOS і Android.
Е2ЕЕ за
замовчуванням підтримують WhatsApp, Viber . У спеціальному режимі роботи
(секретні чати) Е2ЕЕ є в Telegram. У Viber реалізована частина протоколу Signal
- криптографічний протокол Double Ratchet і своя реалізація. Алгоритм Double Ratchet використовується двома
сторонами для обміну зашифрованими повідомленнями на основі загального
секретного ключа [2]. Власна технологія Viber закрита для аудиту.
WhatsApp і Telegram використовують свої реалізації E2EE. В якості методу
шифрування у Telegram використаний протокол MTProto, розроблений командою
Telegram [3]. Цей протокол об'єднує в собі кілька популярних протоколів:
RSA-2048 для аутентифікації і авторизації, DH-2048 для кодування даних, AES при
пересиланні повідомлень. RSA –
криптографічний алгоритм шифрування з відкритим ключем. Протокол Діффі-Хеллмана
(DH) –
криптографічний протокол, що дозволяє двом і більш сторонам отримати загальний
секретний ключ, використовуючи незахищений від прослуховування канал зв'язку.
AES –
симетричний алгоритм блочного шифрування.
Авторизація
– це процедура надання доступу для роботи
користувачу. Процедура
авторизації в Gmail проходить введеням e-mail і
паролю. На платформах iOS і Android в WhatsApp, Viber і Telegram потрібно
ввести мобільний номер і код доступу.
Аутентифікація
– це перевірка достовірності пред'явленого
користувачем ідентифікатора. Аутентифікація в Gmail
проходить способом надіслання користувачеві sms з кодом доступу, який
потрібно ввести для підтвердження особи, щоб користуватися сервісом. В
WhatsApp, Viber, Telegram аутентифікація проходить способом отримання sms коду
доступу. Даний спосіб надає додатковий захист користувачу, але цей спосіб має
вразливість. Відправлений код від сервісу може бути перехоплений у
оператора мобільного зв’язку.
Таким
чином, в результаті аналізу механізмів захисту веб-систем обміну
повідомленнями, а саме шифрування, авторизації і аутентифікації, виявлено що
деякі механізми є недосконалими, це призводить до виникнення вразливостей. При
шифрованні в HTTPS протоколі дані проходять через централізовані сервера, які
мають ключі для розшифровки інформації, зловмиснику варто зламати сервер і
отримати дані, які він зможе розшифрувати і скористатися ними. Слабке місце
месенджерів – аутентифікація.
Хоч месенджери, такі як: WhatsApp, Viber і Telegram використовують технологію
end-to-end шифрування, при викраденні даних з сервера переписку не зможуть
розшифрувати, а перехоплений у мобільного оператора код доступу можна
використати для злому акаунта і отримання даних.
Література:
1. Э. Мэйволд.
Безопасность сетей./
Э. Мэйволд. - Национальный Открытый Университет "ИНТУИТ" 2006. - 528
с.
2. The Double Ratchet Algorithm: 2016. - Signal, 2016. -
Режим доступу в Інтернет: https://signal.org/docs/specifications/doubleratchet/doubleratchet.pdf
3. MTProto Mobile Protocol:
2017. - Telegram, 2017. - Режим доступу в Інтернет: https://core.telegram.org/mtproto