В понедельник представители Facebook заявили, что сервис находится в процессе внедрения поддержки шифрования OpenPGP, которое позволит пользователям, дорожащим своей приватностью, размещать открытые ключи в своем профиле.

Подобный функционал, постепенно вводимый в эксплуатацию, должен обеспечить более высокий уровень защиты сообщений, посылаемых через сервис на личную электронную почту пользователей. В своем заявлении представители компании отметили, что, хотя Facebook и обеспечивает безопасность соединений с почтовыми провайдерами при помощи TLS, сообщения, посылаемые пользователям, отправляются в виде plaintext с вложениями и что получить к ним доступ может каждый, у кого есть доступ к почтовой учетной записи.

Отныне же, если пользователь пожелает, он сможет включить сквозное шифрование для писем-оповещений, присылаемых на их почтовый ящик социальной сетью.

«В тех случаях, когда шифрование оповещений включено, Facebook будет подписывать исходящие сообщения при помощи собственного ключа для обеспечения сохранности содержимого входящих писем», — заявили представители соцсети, добавив, что пользователи смогут обмениваться ключами OpenPGP через свой профиль.

Согласно заявлению компании, Facebook будет использовать стандарт GNU Privacy Guard и поддерживать шифрование при помощи алгоритмов RSA или ElGamal.

«OpenPGP-ключ Facebook включает в себя долгосрочный основной ключ и краткосрочные подключи. Такой подход позволяет поддерживать частую ротацию используемых ключей и в течение продолжительного времени поддерживать сеть доверия и согласованность механизмов идентификации», — пишут инженеры по безопасности программного обеспечения Стив Вейс (Steve Weis), Зак Моррис (Zac Morris) и Джон Милликан (Jon Millican).

Они заявили, что компания продолжит рассматривать возможность внедрения новых алгоритмов на эллиптических кривых в рамках GPG и поддержки функций шифрования на мобильных устройствах.

Планы Facebook уже успел поддержать комитет защиты журналистов (CPJ), нью-йоркская организация, борющаяся за права журналистов. Представители этой некоммерческой организации высоко оценили подобный шаг, назвав его существенным улучшением социальной сети как в плане безопасности, так и в плане удобства.

«Инструменты безопасности вроде шифрования PGP наиболее эффективны, когда они широко используются, — заявил Джеффри Кинг (Geoffrey King), координатор пропагандистской работы CPJ в Интернете. — Facebook совершила важный шаг для обеспечения приватности пользователей по умолчанию, сделав рискованную обстановку, в которой работают журналисты, чуть более безопасной».

В то же время Руна Сандвик (Runa A. Sandvik), ИБ-исследователь, помогавшая в ходе бета-тестирования нового функционала, объяснила, что, хотя одним из ключевых интересов компании является выкачивание данных, это не освобождает ее от ответственности по защите этой информации.

«Мы порой слишком заостряем внимание на бизнес-модели Facebook и забываем, что компания заботится о том, чтобы у пользователей был простой и безопасный доступ», — заявила Сандвик.

За последние пару лет репутация компании ухудшилась, в особенности после откровений Сноудена и разоблачения системы PRISM, но с недавних пор компания показывает успехи, когда дело касается безопасности.

В прошлом году социальная сеть стала доступной в виде скрытой службы Tor, анонимный доступ оказался более простым и безопасным, а в начале этого года компания запустила платформу ThreatExchange для обмена информацией об уязвимостях. Платформа, почти целиком поддерживаемая существующей инфраструктурой, призвана помочь обрабатывать данные об угрозах для Pinterest, Yahoo, Tumblr, Twitter и других социальных веб-сервисов.

Сандвик, ратующая за конфиденциальность и помогавшая адаптировать Facebook к Tor, назвала планы по внедрению PGP важным шагом для обеспечения безопасности соцсети.

«Мы не можем запретить людям использовать Facebook, но можем подсказать им, как использовать ее более безопасно», — заявила Сандвик.

Категории: Кибероборона