オンラインの安全性について

この記事は、Telegram メッセンジャーのブロックがコミュニティで活発に議論されていた数年前に書かれたもので、この問題に関する私の考えが含まれています。そして今日、この話題はほとんど忘れ去られていますが、もしかしたらまだ誰かの興味を引いてくれるかもしれないと願っています。

この文章は、デジタル セキュリティのトピックについての私の考えの結果として現れましたが、私はこれが出版する価値があるかどうか長い間疑問に思っていました。幸いなことに、すべての問題を正しく理解している専門家が数多くいますので、私は彼らに新しいことを教えることはできません。しかし、彼ら以外にも、自分自身が間違いを犯すだけでなく、記事によって膨大な数の誤解を生む膨大な数の広報担当者や他のブロガーもいます。

最近、デジタル戦争の現場で深刻な情熱が燃え上がっていることは周知の事実です。もちろん、これはロシア現代で最も議論されているトピックの 1 つ、つまり電報メッセンジャーのブロックのことを意味します。

ブロックの反対派は、これを人間と国家、言論の自由と個人に対する完全な支配との間の対立として提示する。反対に、支持者は公共の安全と犯罪組織やテロ組織との戦いを考慮して行動します。

まず、Telegram メッセンジャーがどのように正確に機能するかを想像してみましょう。彼らのホームページにアクセスして、彼らがどのような立場をとっているのかを読むことができます。この特定のソリューションを使用する主な利点の 1 つは、エンドユーザーのセキュリティを妥協なく重視できることです。しかし、これは正確には何を意味するのでしょうか?

他の多くの公共サービスと同様に、あなたのデータは暗号化された形式で送信されますが、中央サーバーにのみ送信されます。そこでは完全にオープンな形式であり、管理者が本当にその気になれば、すべての通信内容を簡単に見ることができます。何か疑問はありますか？次に、デバイス間の同期機能をどのように実装するかを考えます。データが機密である場合、そのデータはどのようにして 3 番目のデバイスに届くのでしょうか?結局のところ、復号化のために特別なクライアント キーを提供する必要はありません。

たとえば、ProtonMail メール サービスで行われているように、このサービスを操作するには、ローカル マシンに保存され、ブラウザがメールボックス内のメッセージを復号化するために使用するキーを提供する必要があります。

しかし、それはそれほど単純ではありません。通常のチャットに加えて、秘密のチャットもあります。ここでの通信は実際には 2 つのデバイス間でのみ実行され、同期についての話はありません。この機能はモバイル クライアントでのみ利用可能で、チャットのスクリーンショットはアプリ レベルでロックされ、一定時間が経過するとチャットは破棄されます。技術的な面では、データは引き続き中央サーバーを通過しますが、そこには保存されません。さらに、復号化キーを持っているのはクライアントだけであり、暗号化されたトラフィックには特に価値がないため、保存自体は無意味です。

このスキームは、クライアントとサーバーが誠実に実装している限り、またユーザーの知らないうちに画面のスナップショットをサードパーティに送信するさまざまな種類のプログラムがデバイス上に存在しない限り、機能します。では、法執行機関側がテレグラムをこれほど嫌悪している理由は、秘密のチャットで探るべきではないだろうか？私の意見では、これが大多数の人々の誤解の根源です。そして、暗号化とは一般的に何なのか、そして暗号化が誰からデータを保護することを目的としているのかを理解するまで、この誤解の理由を完全に理解することはできません。

攻撃者が友人に秘密のメッセージを送信したいと考えていると想像してみましょう。非常に重要なので、手間をかける価値はありますが、安全策を講じる価値もあります。情報セキュリティ専門家の観点からすると、Telegram はそれほど良い選択なのでしょうか?いいえ、そうではありません。このために一般的なインスタント メッセンジャーを使用するのは最悪の選択肢だと私は主張します。

主な問題は、メッセージング システムの使用であり、そこではあなたの通信が最初に検索されます。たとえ十分に保護されていたとしても、その存在自体が危険にさらす可能性があります。クライアント間の接続は依然として中央サーバーを介して行われており、少なくとも 2 人のユーザー間でメッセージを送信するという事実は依然として証明できることを思い出してください。したがって、電子メール、ソーシャル ネットワーク、その他の公共サービスを使用することは意味がありません。

では、すべてのセキュリティ要件を満たす通信をどのように整理できるでしょうか?見直しの一環として、問題が法律の枠内のみで解決できることを示すために、すべての違法な方法や物議を醸す方法を意図的に破棄します。スパイウェア、ハッカー、または見つけにくいソフトウェアは必要ありません。
ほとんどすべてのツールは、GNU/Linux オペレーティング システムに付属する標準ユーティリティのセットに含まれており、それらを禁止することは、コンピュータ自体を禁止することを意味します。

World Wide Web はサーバーの巨大な Web に似ており、通常はサーバー上で GNU/Linux オペレーティング システムが実行され、これらのサーバー間でパケットをルーティングするためのルールが適用されます。これらのサーバーのほとんどは直接接続できませんが、それら以外にも、非常にアクセス可能なアドレスを持つ何百万ものサーバーがあり、膨大な量のトラフィックを通過して私たち全員にサービスを提供しています。そして、特にそれが一般的な背景に対して特別に目立っていない場合、このすべての混乱の中であなたの通信を探す人は誰もいません。

秘密の通信チャネルを組織したい人は、市場に存在する何百ものプレーヤーの 23 つから VPS (クラウド内の仮想マシン) を購入するだけです。見るのが難しくないように、発行価格は月あたり数ドルです。もちろん、これを匿名で行うことはできず、いずれの場合でも、この仮想マシンは支払い手段、つまりユーザーの ID に関連付けられることになります。ただし、ほとんどのホスティング会社は、送信されるトラフィックの量やポート XNUMX への接続など、基本的な制限を超えない限り、ハードウェアで何を実行するかを気にしません。

この可能性はありますが、彼があなたから稼いだ数ドルをあなたを監視するために費やすのはまったく利益がありません。
そして、たとえ彼がこれを望んでいる、あるいはそうしなければならないとしても、まずユーザーが具体的にどのような種類のソフトウェアを使用しているのかを理解し、その知識に基づいて追跡インフラストラクチャを作成する必要があります。これを手動で行うのは難しくありませんが、このプロセスを自動化するのは非常に困難な作業になります。同じ理由で、サーバーを通過するすべてのトラフィックを節約することは、これを実行しようとしている関連構造に最初に注目しない限り、経済的に利益が得られません。

次のステップでは、多くの既存の方法の 1 つを使用して安全なチャネルを作成します。

• 最も簡単な方法は、サーバーへの安全な SSH 接続を作成することです。いくつかのクライアントは OpenSSH 経由で接続し、たとえば、wall コマンドを使用して通信します。安くて陽気。
• VPN サーバーを構築し、中央サーバーを介して複数のクライアントを接続します。あるいは、ローカル ネットワーク用のチャット プログラムを探して先に進みます。
• シンプルな FreeBSD NetCat に、原始的な匿名チャット用の機能が突然組み込まれました。証明書などを使用した暗号化をサポートします。

言うまでもなく、同じ方法で、単純なテキスト メッセージに加えて、あらゆるファイルを転送できます。これらの方法はいずれも 5 ～ 10 分で実装でき、技術的には難しくありません。メッセージは、インターネット上のトラフィックの大部分を占める単純な暗号化されたトラフィックのように見えます。

このアプローチはステガノグラフィーと呼ばれ、誰も探そうとも思わない場所にメッセージを隠します。これ自体は通信の安全性を保証するものではありませんが、通信が検出される可能性はゼロになります。さらに、サーバーが別の国にある場合は、他の理由でデータの取得プロセスが不可能になる可能性があります。そして、たとえ誰かがそれにアクセスしたとしても、公共サービスとは異なり、ローカルのどこにも保存されないため、その瞬間までの通信内容が侵害されることはほとんどありません（もちろん、これは選択した方法によって異なります）。コミュニケーション）。

しかし、彼らは、私が探している場所が間違っている、世界の諜報機関は長い間あらゆることを考えてきました、そしてすべての暗号化プロトコルには長い間内部使用のための穴があった、と私に反対するかもしれません。問題の歴史を考慮すると、完全に合理的な声明です。この場合どうすればよいでしょうか?

最新の暗号化の基礎となるすべての暗号化システムには、暗号強度という特定の特性があります。どのような暗号でも解読できると考えられています。それは時間とリソースの問題だけです。理想的には、データがどれほど重要であっても、このプロセスが攻撃者にとって利益にならないことを保証する必要があります。あるいは、時間がかかりすぎて、ハッキング時にデータが重要でなくなってしまう場合もあります。

この発言は完全に真実ではありません。現在使用されている最も一般的な暗号化プロトコルについて話す場合、これは正しいです。しかし、さまざまな暗号の中に、絶対に解読されにくく、同時に非常に理解しやすい暗号があります。すべての条件が満たされれば、理論的にはハッキングは不可能です。

バーナム暗号の背後にある考え方は非常にシンプルです。メッセージを暗号化するためにランダムなキーのシーケンスが事前に作成されます。さらに、各キーは 1 つのメッセージの暗号化と復号化に 1 回だけ使用されます。最も単純なケースでは、ランダムなバイトの長い文字列を作成し、キー内の対応するバイトとの XOR 演算を通じてメッセージの各バイトを変換し、暗号化されていないチャネル経由でさらに送信します。暗号が対称的であり、暗号化と復号化のキーが同じであることが簡単にわかります。

この方法には欠点があり、ほとんど使用されませんが、得られる利点は、双方が事前にキーに同意し、そのキーが危険にさらされていなければ、データが読み取られないことが確実であることです。

どのように機能するのでしょうか?キーは事前に生成され、代替チャネルを介してすべての参加者間で送信されます。可能であれば、検査の可能性を完全に排除するために、中立地域での個人的な会議中に転送することも、USB フラッシュ ドライブを使用して郵送することもできます。私たちは依然として、国境を越えたすべてのメディア、すべてのハードドライブ、携帯電話を検査する技術的能力がない世界に住んでいます。
通信の参加者全員がキーを受け取った後、実際の通信セッションが発生するまでにかなり長い時間がかかる可能性があるため、このシステムに対抗することがさらに困難になります。

キーの 1 バイトは、秘密メッセージの 1 文字を暗号化し、他の参加者がそれを復号化するために 1 回だけ使用されます。使用されたキーは、データ転送後に通信の参加者全員によって自動的に破棄されます。秘密鍵を一度交換すると、その長さに等しい総量のメッセージを送信できます。この事実は通常、この暗号の欠点として挙げられますが、キーの長さが制限されており、メッセージのサイズに依存しない方がはるかに快適です。しかし、これらの人々は進歩を忘れており、これは冷戦時代には問題でしたが、今日ではそれほど問題ではありません。現代のメディアの能力が実質的に無限であり、最も控えめなケースでギガバイトについて話していると仮定すると、安全な通信チャネルは無制限に動作できます。

歴史的には、バーナム暗号 (ワンタイム パッド暗号化) は冷戦時代に秘密メッセージを送信するために広く使用されていました。ただし、不注意により、異なるメッセージが同じキーで暗号化されてしまう、つまり暗号化手順が破られ、復号化されてしまうケースもあります。

この方法を実際に使用するのは難しいですか?それはかなり些細なことであり、最新のコンピューターを使用してこのプロセスを自動化することは、初心者のアマチュアの能力の範囲内です。

では、ブロックの目的は特定の Telegram メッセンジャーに損害を与えることなのでしょうか?その場合は、もう一度渡してください。 Telegram クライアントは、すぐに使用できるプロキシ サーバーと SOCKS5 プロトコルをサポートしているため、ユーザーはブロックされていない IP アドレスを持つ外部サーバーを介して作業することができます。短いセッション用のパブリック SOCKS5 サーバーを見つけるのは難しくありませんが、そのようなサーバーを自分で VPS 上にセットアップするのはさらに簡単です。

メッセンジャーのエコシステムには依然として打撃が残るだろうが、ほとんどのユーザーにとってこれらの制限は依然として乗り越えられない障壁となり、人々の間での人気は損なわれることになるだろう。

それでは、まとめてみましょう。 Telegram をめぐる誇大宣伝はすべて誇大広告であり、それ以上のものではありません。公共の安全を理由にブロックすることは技術的に無知であり、無意味です。安全な通信に非常に関心のある組織は、いくつかの補完的な技術を使用して独自のチャネルを組織できます。そして最も興味深いのは、ネットワークへの少なくとも何らかのアクセスがある限り、これが非常に簡単に実行されることです。

今日の情報セキュリティの最前線は、メッセンジャーではなく、たとえ意識していなくても、一般のネットワーク ユーザーを対象としています。現代のインターネットは考慮に入れなければならない現実であり、最近まで揺るぎないと思われていた法律が適用されなくなります。テレグラムのブロッキングも、情報市場をめぐる戦争の一例です。最初ではないし、もちろん最後でもない。

ほんの数十年前、インターネットが大規模に発展する前、あらゆる種類のエージェント ネットワークが直面する重要な問題は、エージェント間で安全な通信チャネルを確立し、センターとの作業を調整することでした。第二次世界大戦中のすべての参加国における民間ラジオ局に対する厳しい管理（現在も登録が必要）、冷戦時代の番号付きラジオ局（一部は現在も有効）、靴底に貼られたミニフィルム - これらすべて文明の発展の新たな段階では、まったくばかげているように見えます。意識の慣性と同様に、状態マシンがその制御下にない現象を厳格にブロックするように強制します。このため、IP アドレスのブロックは許容可能な解決策とみなされるべきではなく、そのような決定を下す人々の能力の欠如を示すだけです。

私たちの時代の主な問題は、第三者による個人的な通信データの保存や分析ではなく（これは私たちが今日生きている非常に客観的な現実です）、人々自身がこのデータを提供する準備ができているという事実です。お気に入りのブラウザからインターネットにアクセスするたびに、多数のスクリプトがあなたを見つめ、どこでどのようにクリックし、どのページに移動したかを記録します。スマートフォンに別のアプリケーションをインストールする場合、ほとんどの人は、プログラムを使用する前に、プログラムに権限を付与するための要求ウィンドウを煩わしい障壁として認識します。無害なプログラムがあなたのアドレス帳に侵入し、すべてのメッセージを読み取ろうとしているという事実に気づかずに。セキュリティとプライバシーは、使いやすさと引き換えに容易に優先されます。そして、人自身が完全に自発的に自分の個人情報を手放すこと、したがって自分の自由を手放すことが多く、その結果、世界の民間および政府機関のデータベースが自分の人生に関する最も貴重な情報で満たされます。そして彼らは間違いなくこの情報を自分たちの目的のために使用するでしょう。また、利益を追求する競争の中で、道徳や倫理の基準を無視して、それを誰にでも転売するでしょう。

この記事で紹介した情報によって、情報セキュリティの問題を新たに見直し、オンラインで作業する際の習慣を変えることができれば幸いです。そして専門家はにっこり笑って次へ進みます。

あなたの家に平和を。

出所： habr.com