Rewolucja w prywatności? UseCrypt ma oferować nową jakość szyfrowania wiadomości

Coraz częściej słyszy się, że nasze telefony są szpiegowane przez hakerów albo internetowych gigantów, którzy chcą o nas wiedzieć jeszcze więcej. Polscy kryptografowie postanowili rzucić wyzwanie innym usługom, oferującym anonimowość naszych rozmów. UseCrypt Messenger ma być pierwszą aplikacją, zapewniającą pełną dyskrecję użytkownikom.

Rewolucja w prywatności? UseCrypt ma oferować nową jakość szyfrowania wiadomości
Źródło zdjęć: © flickr.com | brewbooks
Grzegorz Burtan

01.04.2018 | aktual.: 30.01.2024 08:35

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Po latach okazuje się, że Usecrypt może nie być tak skuteczny, jak wcześniej sądzono. Twórcy komunikatora postanowiono liczne zarzuty. Szczegóły sprawy opisywane są przez WP Wiadomości.

Tym, którzy nie są przekonani, czy faktycznie jest sens, by inwestować w oprogramowanie szyfrujące, warto przypomnieć, że nawet popularne komunikatory w rodzaju Facebookowego Messengera czy WhatsAppa posiadają opcję tajnej konwersacji i szyfrowania wiadomości. Trudno jednak w dzisiejszych czasach ufać, że rozwiązania Marka Zuckerberga są w pełni bezpieczne. W końcu Facebook potrzebuje naszych danych, które potem może sprzedać reklamodawcom.

Spragnionym prywatności pozostają inne aplikacje. Jedną z najpopularniejszych pozostaje Signal - ze sklepu Google Play pobrano ją ponad 5 milionów razy. Na taką popularność na pewno wpłynął fakt, że bohaterowie netflixowego House of Cards korzystali z Signala, kiedy potrzebowali dyskretnego i bezpiecznego kontaktu. Ba, nawet członkowie amerykańskiego senatu mogą oficjalnie korzystać z tej aplikacji. Z informacji ujawnionych przez BBC wynika jednak, że brytyjska policja jest w stanie odtworzyć konwersacje i wiadomości z Signala.

Skoro prywatność jest teraz w modzie (i cenie), nie powinno dziwić, że nad Wisłą również powstał nasz rodzimy odpowiednik. Mowa tu o UseCrypt Messenger, komunikatorze, który ma być bezpieczniejszy niż zagraniczna konkurencja.

Pogoda dla szyfrujących

– Nie będziemy ukrywać, że wydarzenia ostatnich tygodni sprzyjają nam. Mamy już pobrania z 17 krajów. Do tego dosłownie kilka dni temu otrzymaliśmy referencje od wojskowej jednostki specjalnej [nazwa do wiadomości redakcji - przyp. red.], który postanowił wykupić licencję na naszą technologię. Nasza konkurencja obecnie jest w potrzasku. Telegram został zmuszony przez FSB do wydania kodów, Signal jest hojnie dotowany przez NSA, wyszło na jaw, że Viber kopiuje całą książkę telefoniczną w momencie rejestracji użytkownika, a Facebookowy WhatsApp i Messenger to już znana historia. UseCrypt Messenger w tym tygodniu jest numerem jeden wśród komunikatorów zyskujących popularność w sklepie Google Play – mówi WP Tech Jakub Kokoszka z UseCrypt.

Kamil Kaczyński, jeden ze współtwórców programu, przybliża natomiast aspekty techniczne, które mają przesądzić o sukcesie aplikacji.

– W odróżnieniu od większości obecnych na rynku rozwiązań komunikator UseCrypt Messenger wykorzystuje mechanizm szyfrujący połączenia głosowe całkowicie niezależnie od mechanizmu szyfrującego komunikację tekstową – opisuje rozwiązanie Kaczyński. – Wykorzystany protokół ZRTP (Zimmermann Real-Time Protocol – przyp. red.), pozwala na negocjację klucza kryptograficznego dopiero w momencie zestawienia połączenia pomiędzy klientami usługi. Rozwiązania konkurencyjne korzystają z klucza ustalonego przed wykonaniem połączenia, co pozwala na wprowadzenie tylnych furtek do oprogramowania, umożliwiających odtworzenie prowadzonej komunikacji – podkreśla współtwórca polskiej aplikacji.

UseCrypt Messenger pozwala na anonimizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Rozwiązanie to pozwala na ukrycie adresu IP przed komunikującymi się ze sobą stronami. Każda z nich posiada jedynie adres IP serwera pośredniczącego. W przypadku innych komunikatorów, np. Signal, Viber czy WhatsApp użytkownicy mogą swobodnie określić lokalizację drugiej strony komunikacji, podkreśla Kaczyński.

Istotnym elementem ma być również umiejscowienie serwerów aplikacji. Ekspert tłumaczy mi, że większość obecnych na rynku komunikatorów posiada serwery na terytorium Stanów Zjednoczonych. To ma stwarzać szereg zagrożeń dla przetwarzanych przez nie danych, w szczególności metadanych połączeń.

Usecrypt
Usecrypt© Sklep Play

– UseCrypt Messenger posiada bazę serwerową zlokalizowaną na terenie Europy. Pozwala to na osiągnięcie dwóch korzyści: po pierwsze, brak podległości pod jurysdykcję USA, po drugie, wyższa dostępność i lepsza wydajność usługi na terenie Europy – argumentuje Kaczyński.

Poufna komunikacja nie jest jedyną zaletą rozwiązania z Polski. UseCrypt Messenger jako jedyna aplikacja do bezpiecznej komunikacji ma określać stan zabezpieczeń urządzenia i na tej podstawie podejmuje decyzje, czy może być ono wykorzystywane do bezpiecznej komunikacji. Dodatkowo zaimplementowano mechanizm wykrywania ataków man-in-the-middle w postaci krótkiego wyrażenia wspólnego dla obydwu stron komunikacji. Do tego, jak wspomniano wcześniej, połączenia są szyfrowane w różny sposób, w zależności od sposobu komunikacji.

Te głosowe opierają się na kompresji sygnału audio przy pomocy kodeka Speex, wyspecjalizowanego w obsłudze mowy. Dźwięk w UseCrypt jest próbkowany z częstotliwością 16 kHz, przy stałej przepływności 27800 bps - to ma gwarantować transmisję dźwięku w jakości HD Voice.

Czy jednak administratorzy aplikacji nie mają wglądu do rozmów użytkowników? Kaczyński podkreśla, że taka opcja jest wykluczona.

– Wszystkie operacje kryptograficzne, dotyczące szyfrowania połączenia, wykonywane są po stronie użytkownika aplikacji, na jego urządzeniu. Połączenia są zestawiane poprzez serwer pośredniczący, który nie uczestniczy w żadnych operacjach kryptograficznych – tłumaczy Kaczyński. - Klucze kryptograficzne dla danej pary użytkowników posiadają jedynie urządzenia końcowe. Administratorzy usługi UseCrypt Messenger nie są w stanie odzyskać żadnej treści prowadzonej komunikacji. Posiadają wiedzę o prowadzonej komunikacji nie większą niż dowolny obserwator ruchu sieciowego. Producent oprogramowania nie ma technicznej możliwości podsłuchania lub podejrzenia jakiejkolwiek rozmowy, o ile nie ma dostępu do urządzenia i hasła użytkownika – dodaje.

Aplikacja jest już dostępna w sklepie Play oraz App Store. Nie jest jednak oferowana w formacie bezpłatnego programu z reklamami – za UseCrypt Messenger trzeba zapłacić ponad 60 zł. Cóż, aplikacja została stworzona przez profesjonalistów i jest dedykowana przede wszystkim dla biznesu, gdzie wyciek informacji może mieć dewastujący wpływ na działalność firmy.

Misja i wizja

Aplikacja zadebiutowała pod koniec października 2017 roku. Jednak ostatni skandal z Facebookiem w tle i zmiany w designie samego produktu były kluczowe dla "prawdziwego" startu aplikacji w marcu 2018 roku. Twórcy zaznaczają, że jest ona nie tylko bezpieczna, ale i wygodna.

– Oferowany przez UseCrypt Messenger poziom bezpieczeństwa nie wpłynął negatywnie na funkcje aplikacji i jej ergonomię. Rejestracja użytkownika odbywa się z wykorzystaniem posiadanego numeru telefonu – poprzez kod SMS lub weryfikację głosową. Użytkownik otrzymuje w aplikacji informacje o kontaktach z jego książki telefonicznej, które wykorzystują aplikację. Nie zabrakło także możliwości łatwego dołączania multimediów. Każdy komunikat może mieć również ustalony czas, w którym możliwe jest jego odczytanie. Po jego minięciu jest bezpowrotnie usuwany – konkluduje Kaczyński.

Obraz
© Zrzut ekranu

Kokoszka na końcu podkreśla, że nie chodzi tylko o pełną anonimowość przesyłanych treści – UseCrypt celuje w pewną misję światopoglądową. Firma chce, by użytkownicy nie padali ofiarą kruczków prawnych i niejasno zapisanych umów, które przewijamy bez czytania, byle tylko zainstalować program do pisania ze znajomymi. Stąd rozwijanie inicjatywy "bringing privacy back" – serwisu, na którym można przeczytać, na co zgadzamy się, akceptując warunki przy instalowaniu takich aplikacji.

– Dla nas najważniejsza jest idea, którą chcemy przekazać – odzyskania prywatności przez użytkowników, którzy płacą nią przy użyciu bezpłatnych aplikacji – tłumaczy Kokoszka. – W samym rozwiązaniu mamy również tzw. surveillance check przy każdym uruchamianiu aplikacji, które sprawdza, czy nasz telefon nie został zainfekowany złośliwym oprogramowaniem. Żadna inna aplikacja nie daje tej funkcjonalności. Dodatkowo nie przechowujemy tych danych, nic nie zostaje na naszych serwerach – konkluduje.

Komentarze (316)