Компания Discord представила DAVE — собственный протокол сквозного шифрования (end-to-end encryption, E2EE), предназначенный для защиты аудио- и видеозвонков на платформе от несанкционированного перехвата.
DAVE был создан при поддержке экспертов по кибербезопасности из компании Trail of Bits. Данная организация проводила аудит кода и занималась реализацией системы сквозного шифрования.
Новая система будет охватывать аудио- и видеозвонки в личных сообщениях, аудио- и видеозвонки в небольших групповых чатах, голосовые каналы серверов для больших групповых бесед, а также потоковые трансляции в реальном времени.
В анонсе Discord от 17 сентября 2024 года сообщается:
Сегодня мы запустим миграцию голосовых и видеозвонков в личных сообщениях, групповых чатах, голосовых каналах и трансляциях Go Live на использование сквозного шифрования.
Вы сможете подтверждать, что звонки зашифрованы, и проверять других участников этих звонков.
Первоначально созданный для общения геймеров во время игрового процесса, Discord превратился в одну из самых популярных в мире платформ для общения, объединяющую группы по интересам, создателей контента, бизнес и различные сообщества.
Внедрение DAVE является важным шагом по усилению безопасности данных и конфиденциальности на платформе, которой пользуются более 200 миллионов человек.
Самое важное, что Discord решил открыть исходный код протокола и его сопутствующих библиотек, что позволяет исследователям безопасности выполнять аудит. Также была опубликована техническая документация, обеспечивающая прозрачность для сообщества.
Технический подробности DAVE
DAVE использует WebRTC Encoded Transforms API, который позволяет шифровать медиафреймы (аудио и видео) после их кодирования и до разбивки на пакеты для передачи. На принимающей стороне кадры расшифровываются и затем декодируются.
Шифрованию не подлежат только специальные метаданные кодеков, такие как заголовки и зарезервированные последовательности.
Для безопасного и масштабируемого обмена ключами в группах используется протокол Messaging Layer Security (MLS), при этом каждый участник получает симметричный ключ шифрования медиаданных для отправителя. Для генерации ключей идентификации используется алгоритм цифровой подписи на эллиптических кривых (ECDSA).
Когда состав группы меняется (кто-то выходит или присоединяется), начинается новая «эпоха», и состояние шифрования группы переходит на новую эпоху с генерацией новых ключей. Этот процесс должен происходить без заметных задержек для участников.
Discord сообщает, что протокол MLS вызывает небольшую задержку при обмене ключами, но DAVE спроектирован таким образом, чтобы эта задержка оставалась в пределах нескольких сотен миллисекунд, даже в больших групповых звонках.
Что касается проверки пользователей, предусмотрены методы, не связанные с каналом передачи данных, такие как сравнение проверочных кодов, называемых «коды конфиденциальности голоса», которые генерируются на основе состояния эпохи MLS группы.
Устойчивость к постоянному отслеживанию достигается за счет использования временных ключей идентификации — пользователи получают новый ключ для каждого звонка.
Постепенное внедрение
Discord начал процесс миграции всех соответствующих каналов на DAVE, и пользователи смогут убедиться, что их звонки защищены сквозным шифрованием, проверив соответствующий индикатор в интерфейсе.
Потребуется некоторое время, чтобы все пользователи получили полный доступ к новой системе сквозного шифрования на всех устройствах и каналах.
Пользователям не нужно предпринимать никаких действий — достаточно обновить клиентское приложение до последней версии, так как устаревшие клиенты будут ограничены только транспортным шифрованием.
Первоначальный запуск охватит десктопные и мобильные приложения Discord, веб-клиенты получат поддержку DAVE позже.
Обновления программ, что нового
• Тестирование автономности флагманов 2024: iPhone 16, Galaxy S24 и Pixel 9
• Samsung внедряет ИИ во все устройства – от смартфонов и телевизоров, до холодильников: Итоги конференции разработчиков 2024
• Бета-версия клиента Steam получила исправления для SteamVR, записи игр и контроллеров
• Google внедряет новые функции защиты от кражи для устройств Android
• Началось открытое бета-тестирование Arc Search для Android
• Samsung One UI 7: Обзор ранней сборки нового интерфейса на Android 15