Не Telegram та Signal єдиними. Новий месенджер, який дбає про безпеку ваших даних

«Великий брат стежить за вами» — сьогодні це не просто вдала фраза для мемів. Це наріжна проблема конфіденційності в діджитал-площині. Тим паче під час війни. 

Очільник ГУР Кирило Буданов вбачає ймовірні ризики користування найпопулярнішим месенджером в Україні — Telegram. Шеф-редактор Vector Дмитро Кошельник написав розлогий матеріал про неоднозначність політики Дурова щодо приватності користувачів та можливу співпрацю зі службами рф. 

Чи існує надійна альтернатива зі зручним інтерфейсом, широким спектром можливостей та реальною турботою про збереження конфіденційності? Український стартап Lecksis працює над розробленням і вдосконаленням такого месенджера. Уже зараз можна затестити бета-версію на iOS або Android. Офіційний реліз продукту зі всіма функціями планується через рік.

Про безпеку в епоху зростання цифрової вразливості, можливості й виклики нового застосунку Lecksis, технічні інновації для захисту даних розповіли власник стартапу  Вадим Мороз та тімлід команди розробки Олександр Дмитрієв. 

Безпека в месенджерах

Коли йдеться про безпеку в месенджерах, більшість користувачів задовольняють гасла виробників «наш продукт захищений», «ми не співпрацюємо зі службами», «не передаємо персональні дані клієнтів» тощо. Якщо зазирнути «під капот» та розібратися в протоколах шифрування, де зберігаються ваші дані та хто має до них доступ — усе не так просто. Тип шифрування визначає рівень безпеки. 

Найпопулярніші типи шифрування в месенджерах:

• E2EE (End-to-End Encryption) — наскрізне шифрування, яке захищає повідомлення на обох кінцях «відправник-одержувач». Тут можуть використовуватися різні алгоритми шифрування, наприклад симетричний і асиметричний. Повідомлення зберігаються на пристроях користувачів або на сторонніх серверах у зашифрованому вигляді. 
• Extended Triple Diffie-Hellman — алгоритм для встановлення захищеного каналу передачі даних, який генерує секретну фразу на основі приватних ключів пристрою. Такий тип шифрування зводить нанівець ризики MITM-атаки (підміну трафіку). Цей протокол передбачає використання чотирьох типів ключів, три з яких постійно змінюються. 

Наприклад, Signal Protocol застосовували різні месенджери, зокрема WhatsApp, Facebook Messenger, Viber. Ще на ньому побудований однойменний месенджер Signal. Система поєднує Double Ratchet Algorithm, prekeys і розширений протокол потрійного обміну ключами Діффі-Хеллмана (3-DH). Саме це робить його ефективним у захисті листування користувачів.

Логічне запитання: якщо протоколи шифрування використовують усі розробники продуктів — у чому проблема? Річ у тім, що більшість месенджерів централізовані. Тобто зберігають метадані користувачів на власних серверах. За потреби можуть легко її використати чи відновити. Зокрема Telegram, WhatsApp* тощо. Будь-яка інформація, що проходить через їхні канали електронного зв’язку, реєструється, синхронізується та зберігається необмежений час. Отже, втрачає конфіденційність. Усі памʼятають скандали про співпрацю популярних месенджерів зі спецслужбами?

*Натомість Viber, який був заснований у 2010 році ізраїльськими розробниками, а у 2014-му був придбаний японською корпорацією Rakuten, пройшов усі необхідні аудити з дотриманням усіх міжнародних норм та стандартів безпеки.

За словами офіційних представників, дані українських користувачів та користувачів з інших країн месенджера Viber зберігаються на серверах Amazon (AWS) із дотриманням міжнародних стандартів безпеки.

Усі особисті та групові чати, а також дзвінки в Rakuten Viber захищені наскрізним шифруванням за замовчуванням. Ані на сервері, ані в команди Viber, ані в будь-яких третіх сторін ключів немає. Листування і ключі дешифрування за замовчуванням є тільки на пристроях співрозмовників. Viber не ділиться даними своїх користувачів з урядами будь-яких країн.

Застосунки рф, Білорусі або Китаю за замовчуванням не можна вважати безпечними. Не страшно надіслати бабусі привітальну листівку з Великоднем. Однак довіряти «чутливе» листування Telegram або TikTok — не варто. Вимоги країн виробників ставлять під великий сумнів захищеність користувачів.

Lecksis працює по-іншому

По-перше, Lecksis — український стартап.

Він гарантує користувачам повну анонімність та не зберігає дані на сервері. У месенджер інтегровано VPN, який не розкриває IP-адресу користувача. Листування захищено алгоритмом Double Ratchet, а ключі шифрування належать тільки користувачеві. Ніхто не має доступу до акаунту, крім вас. 

Також у месенджер вбудовано Extended Triple Diffie-Hellman алгоритм, який важко зламати. Якщо ви забули пароль від акаунту, його можна встановити лише, ввівши ключ (сід-фразу) з 24 рандомних слів. Увага! Сід-фраза генерується під час першої реєстрації. Її краще зберегти в нотатки. Якщо ви загубите ключ — акаунт встановити не вдасться. Така ціна за цілковиту конфіденційність. 

Дзвінки відбуваються за протоколом WebRTC, тому дані про них не зберігаються. Прослуховування вимкнено. Хіба що на вашому пристрої є стороння шкідлива програма, яка записує розмову з мікрофона.  

Які дані потрібні для реєстрації?

Обовʼязковим є лише нікнейм під час реєстрації. Придумайте гарний, бо потім його не змінити.

Імʼя, прізвище та будь-які інші персональні дані можна залишити за бажанням. Це суттєва перевага для анонімності. У Lecksis немає привʼязки до номера телефону або email, як у більшості месенджерів. 

Приватність на такому рівні гарантує хіба що Signal та швейцарський месенджер Threema. Проте Lecksis прагне бути більше, ніж просто месенджером. Компанія будує цілу екосистему для широкої аудиторії. 

Детальніше розповідає власник стартапу Вадим Мороз.

Ми не хочемо бути продуктом для гіків. Наприклад, Threema хоча й дуже захищений, все-таки має проблеми в аспектах користувацького досвіду. Щоби почати листування, вам потрібно ввести унікальний ідентифікатор користувача або відсканувати його QR-код. Це посилює рівень безпеки, але стає великим барʼєром для масовості продукту, бо занадто складно.

Розробники Lecksis піклуються не тільки про безпеку, а й про позитивний досвід використання. Застосунок має приємний і зрозумілий інтерфейс, широку функціональність, доступність та адаптивність під потреби аудиторії. 

У фінальному релізі Lecksis матиме всі базові опції: 

• приватні та групові чати, дзвінки на необмежену кількість людей;
• обмін голосовими й відеоповідомленнями, файлами та документами;
• стикерпаки й інтерактивні реакції на повідомлення;
• створення голосувань і тестів;
• конструктор ботів тощо.

Додаткові можливості Lecksis

Криптогаманець 

Користувачі зможуть перевіряти актуальний баланс, купувати, продавати та робити перекази, відстежувати історію транзакцій у застосунку. 

Для керування переказами Lecksis використовує блокчейн Polygon. Це децентралізована мережа з алгоритмом консенсусу proof-of-stake для підтвердження та створення блоків. Це означає, що будь-яка транзакція, яка надходить від Lecksis,  потрапляє просто до блокчейну. Навіть якщо атакують сам месенджер, то кошти користувачів не постраждають. 

Поки що Lecksis підтримує криптовалюти Sushi та Matic. Розробники обіцяють додати інші популярні монети. Найближчим часом запустять власну під назвою LEKS. 

Вбудований ШІ-асистент

Lecksis не стоять осторонь трендів. У застосунок інтегровано генеративного ШІ-помічника на базі чату GPT. Він може допомогти з пошуком інформації, адаптацією  текстів під потрібний тон, перекладом тощо. Поки що асистент нічим не відрізняється від безплатної версії GPT 3.5. Розробники Lecksis обіцяють натренувати та розширити можливості асистента. 

Маркетплейс

Якщо створювати новий месенджер, необхідно подбати про потреби бізнесу. Шлях до монетизації проходить саме через задоволення потреб комерційного сектору. Ми живемо в еру робочих чатів у Telegram, але непогано мати надійнішу альтернативу. 

Lecksis прагнуть зробити не тільки безпечне середовище для обміну даними, а й дати компаніям можливість створення маркетплейсів і бізнес-інструменти для продажу та просування продуктів. Нині ця опція розробляється та зʼявиться у фінальному релізі месенджера. 

Кому варто спробувати Lecksis

Як бачимо, продукт надає широкий спектр можливостей. Отже, сфокусований на великій аудиторії. Найбільша перевага — в безпеці. Проте, на відміну від аналогів, Lecksis піклуються про комфортне й безбарʼєрне використання месенджера. 

Без нудного інтерфейсу і складної системи, яку зрозуміють лише гіки. Спробуйте самі!

У сучасному контексті Lecksis стане в пригоді: 

• журналістам і медіа для зв’язку з інформаторами, які хочуть зберегти анонімність, та для ефективних журналістських розслідувань;
• бізнесам, які шукають зручні інструменти для комунікації та просування продуктів і послуг;
• криптанам — для передачі інсайдерської інформації, обміну, купівлі та продажу криптовалют;
• продавцям NFT-продуктів та скіну для ігор.
  

Інша сторона медалі 

Цілковита анонімність — ласий шматок для тих, хто займається сірою або незаконною діяльністю (продаж та купівля наркотиків, зброї, поширення порнографії, корупційні схеми тощо). Утім, ці ризики не нові й для інших месенджерів. Зокрема Telegram мав чати продажу наркотиків, а Viber дуже полюбився фішерам.

Розробники Lecksis не ігнорують цю проблему. Водночас закликають юзерів бути уважними та дотримуватися правил користування месенджером. Якщо ви помітите незаконну діяльність — залишіть репорт, і акаунт видалять.  

Будь-який месенджер може слугувати добрим чи поганим намірам. Користуватися можна всіма, але варто окреслити межі. Щоденне листування, яке не несе загрози, можна легко довірити будь-якому зручному продуктові. Однак про обмін «чутливою» інформацією краще попіклуватися заздалегідь.

Памʼятайте: ніхто не вбереже ваші дані, якщо ви власноруч віддасте їх третій стороні. 

UPD: до виділеного курсивом тексту було внесено оновлення за зверненням представників компанії Rakuten Viber