В ексклюзивному інтерв’ю crypto.news Кі Джефферіс, технічний директор Session, обговорив невід’ємні ризики для конфіденційності з централізованими платформами обміну повідомленнями.

Оскільки наш світ стає все більш зв’язаним, конфіденційність перетворилася з розкоші на необхідність. Кожне клацання, кожне повідомлення, кожна цифрова взаємодія є потенційним витоком, який розливає секрети в море даних, готових до збору. 

Додатки для обміну повідомленнями, які є невід’ємною частиною нашого повсякденного спілкування, стикаються з дедалі більшою пильністю щодо своїх практик конфіденційності.

Тим не менш, інциденти, подібні до тих, що стосуються WhatsApp і Telegram, де злами та помилки метаданих підірвали довіру, підкреслюють крихку природу конфіденційності на традиційних платформах. 

Такі епізоди постійно нагадують нам про вразливі місця, з якими користувачі стикаються щодня, наражаючи їх на потенційне профілювання та стеження, підриваючи довіру.

Введіть web3, маяк надії, який обіцяє зміну парадигми в бік децентралізації. Ця нова технологічна структура прагне демонтувати централізовані повноваження, які традиційно керують нашими даними, пропонуючи натомість систему, де конфіденційність є невід’ємною, а не факультативною. 

Завдяки своїй роботі з Session Джефферіс відстоює це бачення, використовуючи мережу вузлів, керованих спільнотою, для захисту взаємодії користувачів без необхідності центрального органу.

Він вважає, що децентралізований підхід є вирішальним для створення нової моделі довіри. Такий, який не покладається на централізовані організації, а розподіляє відповідальність між мережею незалежних операторів.

З огляду на нещодавні порушення безпеки та проблеми зі збором метаданих у таких програмах для обміну повідомленнями, як WhatsApp і Telegram, які ризики зараз загрожують користувачам у секторі традиційних програм для обміну повідомленнями, зокрема з точки зору конфіденційності?

Традиційні програми обміну повідомленнями, такі як WhatsApp і Telegram, за своєю суттю централізовані, створюючи приманки конфіденційних метаданих, таких як номери телефонів, IP-адреси та зображення профілів. Ці дані можна зв’язати з іншими метаданими, такими як час повідомлень і членство в групах, для створення детальних профілів користувачів, їхніх звичок і стосунків. Незважаючи на те, що ці служби стверджують, що не займаються таким профілюванням, вони володіють даними та доступом для цього, і ці дані можуть бути витоку чи доступу з боку хакерів або вимушені владою. Для підвищення конфіденційності нам потрібні системи, які мінімізують збір і централізацію даних.

Правоохоронні органи отримують доступ до даних користувачів із захищених програм обміну повідомленнями через метадані та резервне копіювання в хмарі. Як web3 вирішить це? Чи очікуєте ви потенційної негативної реакції з боку регуляторів, коли ці рішення з’являться?

Хмарне резервне копіювання – це зручна функція, яку зазвичай пропонують виробники пристроїв, наприклад iCloud для iOS і Google One/Drive для Android. Видавці додатків для обміну повідомленнями можуть пом’якшити ризики, створені цими хмарними службами резервного копіювання, відмовившись від автоматичного резервного копіювання та використовуючи натомість створені на замовлення децентралізовані мережі зберігання, такі як Arweave або Filecoin, які не впроваджують нормативні бекдори для обов’язкового доступу. Регулятори та правоохоронні органи зазвичай зосереджуються на конфіскації пристроїв під час розслідувань, які можуть виявити вміст, подібний до того, що можна отримати з резервних копій у хмарі, тому ця зміна може не спричинити значних регуляторних проблем.

Як децентралізований характер технологій web3 конкретно вирішує проблеми конфіденційності та довіри, з якими борються традиційні програми обміну повідомленнями? 

Найфундаментальнішим чином децентралізація створює нову модель довіри, яка розподіляє тягар і відповідальність за довіру між тисячами сторін замість однієї організації, і створює систему на основі правил для управління цією новою моделлю довіри. Він усуває централізовані приманки метаданих користувачів і натомість розподіляє дані користувачів, що робить майже неможливим отримати глобальне уявлення про мережу. Це означає, що замість того, щоб скомпрометувати одну сутність, потрібно скомпрометувати тисячі окремих операторів, щоб отримати доступ до даних користувачів.

Можливо, вам також сподобається: нова функція Telegram перетворює програму чату на цифровий ринок: що змінило правила гри?

Яким ви бачите майбутнє безпечного обміну повідомленнями в контексті посилення державного стеження та кіберзагроз? 

Більшість зусиль у сфері безпечного обміну повідомленнями зосереджено на захисті вмісту повідомлень за допомогою більш досконалих схем наскрізного шифрування, часто за рахунок досвіду користувача. Я думаю, що в наступні 10 років простір загалом більше зосереджуватиметься на захисті метаданих, оскільки наскрізне шифрування стає більш вирішеною проблемою, а уряди переходять до ще ширшого збору метаданих. Назва гри більше не буде контентом, вона буде контекстом.

Як веб3 і децентралізовані технології можуть подолати наявні недоліки та створити більш безпечне майбутнє для програм обміну повідомленнями?

Web3 і децентралізовані технології можуть подолати недоліки, порушивши припущення про довіру централізованих месенджерів і довівши, що зручністю використання не потрібно жертвувати конфіденційністю чи децентралізацією.

Session стверджує, що пропонує «ненадійне» середовище обміну повідомленнями. Чи могли б ви пояснити, як архітектура Session усуває певні недоліки конфіденційності, виявлені в традиційних програмах обміну повідомленнями, гарантуючи, що дані користувачів залишаються конфіденційними та безпечними, не вимагаючи від користувачів довіряти центральному органу? 

Замість того, щоб покладатися на централізований сервер, коли користувач надсилає повідомлення в сеансі, він взаємодіє з мережею вузлів, керованих спільнотою, яка називається «Мережа вузла обслуговування». Ця мережа має понад 2000 вузлів, які зберігають і направляють зашифровані дані користувачів сесії. Ця архітектура гарантує, що дані користувача залишаються конфіденційними, оскільки немає центрального місця для збору повідомлень користувачів. Довіра підтримується виключно між мережею та її користувачами без жодного центрального органу чи посередника, який би керував цим процесом.

Які механізми використовує Session для захисту конфіденційності користувачів?

Є 4 основні речі, які Session робить для захисту конфіденційності користувачів; Для реєстрації не потрібен номер телефону чи ідентифікаційна інформація — просто згенеруйте ідентифікатор сеансу та почніть обмінюватися повідомленнями. Усі повідомлення наскрізно шифруються за допомогою перевіреного протоколу шифрування та клієнтів із відкритим кодом. Session використовує цибулеву маршрутизацію, щоб приховати IP-адреси користувачів під час використання служби. Децентралізована мережа використовується для тимчасового зберігання, усуваючи необхідність довіряти центральному постачальнику послуг.

Докладніше: хакери націлюються на користувачів Telegram і WhatsApp за допомогою троянських програм, щоб викрасти криптовалюту