Конфиденциальность всегда актуальна, особенно в бизнесе. Вашей компании нужен безопасный и защищённый мессенджер? Тогда вы пришли в правильное место. Мы разрабатываем защищённые мессенджеры со сквозным шифрованием, ограниченным использованием метаданных и другими полезными функциями.
Досконально анализируем и прорабатываем требования перед началом работ, разрабатываем MVP мессенджера в кратчайшие сроки, закладываем возможность масштабирования. Умеем работать с высокой нагрузкой, до 20 000 rps и выше.
Предлагаем оптимальные решения для поставленных целей и задач. Всегда слушаем и слышим клиентов и выполняем работу в срок.
Мобильные приложения дали бизнесу новые возможности, такие как использование их для продвижения и продаж. Вместе с ними появились и новые угрозы, такие как взлом приложений, утечка информации, потеря деловой репутации. За 2022 год мировая экономика лишилась $6 триллионов из-за киберпреступлений. В эту сумму входят убытки, вызванные кражей данных и интеллектуальной собственности, а также нарушением бизнес-операций.
Конфиденциальность — самая злободневная тема эпохи мобильного интернета. Часто появляются новости о нарушениях безопасности из-за недостатков приложений. Взламываются даже мессенджеры техногигантов. Виной тому становятся как халатное обслуживание базы данных, так и использование простейших паролей. В такой сложной ситуации возник спрос на разработку мессенджеров с шифрованием, их ещё называют защищёнными или безопасными.
Принцип работы защищённых и стандартных мессенджеров
Приложениями для обмена сообщениями пользуется как минимум полмира. Только у WhatsApp и Facebook Messenger 2 миллиарда и 1,3 миллиарда активных пользователей соответственно. А насколько безопасно использовать их при общении на такие темы, о которых никто кроме вас и вашего собеседника не должен узнать?
Большинство популярных мессенджеров строятся на двух протоколах обмена сообщениями:
HTTP + push-уведомления. Здесь вам приходит уведомление о новом сообщении, а сервер ответит вам только после того, как вы откроете приложение.
Расширяемый протокол обмена сообщениями (XMPP). Здесь вы всегда подключены к серверу, а если соединение пропадёт, то вы переключитесь в автономный режим.
У многих мессенджеров есть слабые места, угрожающие кибербезопасности. А злоумышленники привыкли выбирать приложения, через которые проходят конфиденциальные данные. Они потом могут использоваться против пользователей или компаний, ведущих частную или корпоративную переписку. Поэтому любая информация в сообщениях, будь то текст, изображение или видео, должна быть надёжно защищена.
Каждое приложение для обмена сообщениями использует собственные методы безопасности, но главная разница между защищёнными и стандартными мессенджерами заключается в шифровании данных. Защищённые стали отдельной категорией из-за растущего осознания, что общение в интернете небезопасно, ведь доступ к переписке может получить третья сторона. Известны случаи, когда крупные компании использовали данные пользователей, включая личные сообщения, для таргетированной рекламы.
Сквозное шифрование
Основной принцип безопасного обмена сообщениями — сквозное шифрование. Оно использует многоуровневый подход, который затрудняет грубое проникновение в переписку с доступом к данным. Сквозное шифрование работает так:
Два пользователя начинают диалог. Это событие генерирует два ключа: закрытый ключ (остаётся на устройстве пользователя) и открытый ключ (хранится на сервере поставщика услуг).
Когда первый пользователь пишет сообщение, открытый ключ зашифровывает его так, чтобы сообщение можно было прочитать только с помощью закрытого ключа. Затем сервер отправляет сообщение второму пользователю, который расшифровывает его своим закрытым ключом.
В этой схеме данные, хранящиеся на сервере, бесполезны в зашифрованном виде. Они выглядят как набор букв с цифрами, который никто не может прочитать, не имея закрытого ключа. А ключ настолько сложен, что методы дешифрования ему не подходят, так как его случайно сгенерированные символы несопоставимы с символами открытого ключа. Если злоумышленник не может достать закрытый ключ с устройства пользователя, то вероятность прочтения переписки сводится к нулю.
Например, приложение Signal работает на одноимённом криптографическом протоколе, разработанном Open Whisper Systems ещё для первого приложения (TextSecure). Signal Protocol также применяется по умолчанию в WhatsApp, а ещё как дополнительная функция в Facebook Messenger и Skype.
Удаление сообщений
Автоматическое удаление сообщений — ещё одна важная часть головоломки. Хотя эта функция есть во многих мессенджерах, нет гарантии, что сообщения действительно удаляются с серверов приложений и из баз данных. Например, известно, что Google и Meta хранят сообщения пользователей. Можно лишь надеяться, что не все поставщики услуг так «бережливы». Те, кто дают возможность автоматически удалять сообщения, стараются построить доверительные отношения с пользователями.
Использование метаданных
Метаданные тоже считаются проблемным элементом при соблюдении конфиденциальности. Они используются для идентификации пользователей и их учётных данных. Большинство мессенджеров хранят такие метаданные, как время сообщений, отправитель и получатель, список контактов, идентификатор устройства. Например, WhatsApp хранит метаданные. Хакеры могли бы использовать их для идентификации пользователя и применения социальной инженерии, чтобы получить ключ дешифрования.
Прозрачность и открытость
Прозрачность для защищённых мессенджеров звучит двояко. С одной стороны, у вас должны быть прописаны определённые условия обслуживания, подтверждающие о намерении предоставить пользователям безопасную платформу с конфиденциальностью. Значит, переписка и данные о пользователях должны быть приватными, а не открытыми. С другой стороны, истинно безопасное приложение должно иметь открытый исходный код, доступный любому аудитору для проверки. Это также лёгкий способ повысить качество приложения, если программисты-энтузиасты будут тестировать его бесплатно.
В итоге получается, что ценность самых защищённых мессенджеров основана на 4 принципах:
Согласно статистике активных пользователей за месяц, в 169 странах первое место занимает WhatsApp, но в 25 он уступил первенство. Из непокорённых стран в 15 лидером стал его родственник Facebook Messenger, а в 10 господствуют мессенджеры, не принадлежащие корпорации Meta.
Раз уж рынок настолько глобализирован, пойдём от общего к частному. Вот так сейчас выглядит рейтинг приложений для обмена сообщениями в глобальном масштабе:
Ежемесячное число активных пользователей указано в миллионах, данные от Statista на январь 2023.
А вот топ-3 приложений для обмена сообщениями в отдельно взятых странах:
Страна
1-е место
2-е место
3-е место
Россия
Telegram
WhatsApp
Snapchat
Великобритания
WhatsApp
Snapchat
Telegram
США
WhatsApp
Facebook Messenger
Snapchat
Канада
WhatsApp
Snapchat
Telegram
Места основаны на рейтинге Google Play, данные от Similarweb на май 2023.
Популярные мессенджеры с шифрованием
Как правило, рейтинги составляются без учёта особенностей приложений (протоколы, функции), даже без сортировки на защищённые и стандартные. Поэтому, для полноты картины и соответствия теме, мы хотели бы перечислить самые защищённые мессенджеры, то есть использующие сквозное шифрование.
Лучшие мессенджеры со сквозным шифрованием по версии TechRadar от ноября 2022:
Element.io.
Signal.
WhatsApp.
Telegram.
Threema.
Лучшие мессенджеры со сквозным шифрованием по версии Tom’s Guide от мая 2023:
Signal.
Telegram.
WhatsApp.
Threema.
Wire.
Надеемся, что ваш будущий мессенджер с шифрованием попадёт в один из таких рейтингов. А начать разрабатывать мессенджер мы можем хоть прямо сейчас, если напишете нам в Telegram.
Создание мессенджера на блокчейне: миссия невыполнима
Многие наслышаны о технологии блокчейн и пробуют внедрять её повсюду. Только эта чудо-технология не может обезопасить абсолютно всё, снизить расходы и одновременно повысить доход.
В теории у блокчейна много областей применения, но на практике он приносит пользу пока только в финансовых услугах, торговле и производстве. Если говорить о защищённых мессенджерах, то оказывается, что они несовместимы с трендовой технологией из-за двух препятствий.
Блокчейну нужно место для хранения
Первым препятствием будет хранилище для всего, что сопутствует отправляемым и получаемым сообщениям. Прошли те времена, когда сообщение представляло собой чистый текст. Сегодня это часто фотографии, голосовые сообщения, видеоролики, документы. Всему этому требуется место для хранения, о чём не задумываются пользователи неблокчейн-приложений.
Где хранить сообщения при создании мессенджера на блокчейне? Ему же понадобятся полные узлы с синхронизируемой копией реестра. Ими станут либо серверы владельца мессенджера, но тогда не будет децентрализации, либо устройства пользователей. А захотят ли люди хранить у себя гигабайты посторонней информации, тем более в смартфонах? У них встроенная память всего лишь 32–256 ГБ. Для сравнения: в мае 2023 размер блокчейна Биткоина достиг 483 ГБ, а Эфириума — 986 ГБ. Это только информация о транзакциях, без фото, аудио, видео. Придётся как-то мотивировать участников сети поддерживать её функционирование.
Кроме того, возникнет конфликт интересов: блокчейн будет хранить либо все сообщения (включая вложения), либо метаданные, и удалить их не получится. Это нарушит два принципа из четырёх, на которых строится защита мессенджеров.
Блокчейну нужны валидаторы
Вторым препятствием будет алгоритм консенсуса, который необходим любому блокчейну для создания доверия между участниками сети. Недостаточно просто распределить реестр на тысячи устройств для хранения информации. Часть из них должна постоянно подтверждать действия пользователей перед тем, как добавить записи в блок. Например, в P2P-платёжных системах такими действиями выступают криптовалютные транзакции. За валидацию транзакций майнеры, стейкеры или делегаты берут комиссию, за добавление блока в цепь получают вознаграждение, а иначе им нет смысла поддерживать сеть.
Если вы хотите создать защищённый мессенджер на блокчейне, то будьте готовы делиться чем-то с валидаторами. Тогда они тоже будут делиться своими ресурсами и временем на валидацию проходящих через сеть сообщений. Придётся заодно создавать токеномику там, где она не была нужна. Всё взаимосвязано: без оплаты за действия не будет валидаторов, без валидаторов не будет доверия, без доверия не будет пользователей.
В то же время эти главные участники сети станут её узким местом. Если их будет мало, или если количество операций в секунду будет пиковым для сети, то они не будут успевать валидировать действия пользователей. Это приведёт к сильным задержкам.
Возьмём Эфириум: в среднем транзакция валидируется за 12 секунд — столько времени нужно на создание блока. В 2023 году через сеть проводится около 12 транзакций в секунду (без задержек); максимум за всё время — 22 транзакции в секунду (с задержками). Лимит для блока получается: 22 × 12 с. = 264 транзакции. Всё, что превысит его, встанет в очередь на следующие блоки. Сравним с WhatsApp: в 2023 году через него отправляется более 1 миллиона сообщений в секунду. Если бы WhatsApp работал на блокчейне Эфириума, то пользователи стояли бы в очереди на создание 3787 блоков, которые смогут вместить миллион сообщений. Значит, на доставку одного сообщения уходило бы: 3787 × 12 с. = 45 444 секунд, или 12,6 часа.
Наконец, для защищённых мессенджеров никуда не денется нарушение принципов защиты конфиденциальности: сотни валидаторов плюс тысячи других участников сети будут видеть метаданные сообщений. Ценителей приватности беспокоит, что одна компания вроде Meta владеет их данными, а тут вся сеть будет знать, когда и кому они отправляли сообщения.
Какие возможности защищённый мессенджер должен предоставлять пользователям
Регистрация по номеру телефона
Удобство должно стоять на первом месте. Поскольку пользование начинается с регистрации, её надо упростить, чтобы людям не пришлось запоминать множество учётных данных, необходимых для входа в приложение. Не следует запрашивать имейл, потому что злоумышленникам легче получить доступ к нему, чем к сим-карте.
Удаление сообщений и аккаунтов
В защищённом мессенджере должна быть функция удаления сообщений. Обычно она позволяет включить удаление сообщений через заданное время в минутах, днях, неделях. Также и с удалением аккаунта: если пользователь не заходил в приложение в течение определённого времени, то пусть аккаунт удаляется вместе со всеми диалогами и данными.
Групповые чаты
Пользователям нужна возможность создавать приватные групповые чаты, где они могли бы вести зашифрованные беседы. Например, о личном — в чате с родственниками и друзьями, о бизнесе — в чате с коллегами и партнёрами. А сервер приложения не должен иметь доступ ни к каким групповым метаданным.
Обмен контентом
В любом мессенджере должна быть функция передачи изображений, аудио- и видеофайлов, документов. В защищённом она тоже необходима. Только в его настройки следует добавить опцию не сохранять или автоматически удалять отправленные и полученные файлы из папки по умолчанию.
Какие возможности защищённый мессенджер открывает бизнесу
В бизнес-операциях общение позволяет поддерживать эффективность и динамичность рабочего процесса. Поскольку предприниматели и их работники загружены множеством задач, мессенджеры становятся их главными помощниками. Однако так же, как помочь, они могут и навредить.
Информация в интернете передаётся через серверы, которые кем-то контролируются. Переписка в мессенджере тоже происходит через стороннего поставщика услуг. Хотя условия сервиса предполагают, что все пользовательские данные считаются конфиденциальными и поэтому неприкасаемыми, они могут использоваться в любых целях. Пользователи даже могут согласиться на это, принимая условия сервиса при регистрации. Но обычно никто не читает условий, либо не замечает хитрых формулировок, согласно которым компания не отвечает за конфиденциальность данных.
Получается, не каждое приложение для обмена сообщениями безопасно, поскольку всё зависит от поставщика услуг. Одно дело, когда пользователь сам идёт на компромисс, и совсем другое, когда сервис оказывается ненадёжным. Особенно бизнесу нельзя рисковать дорогостоящей информацией.
Защитить ваше деловое общение может собственный мессенджер со сквозным шифрованием. Вы можете сделать его непубличным, с регистрацией только по приглашению от существующего пользователя. Все проходящие данные будут храниться только на вашем сервере, и вы будете иметь возможность удалить их полностью и безвозвратно.
Сколько стоит разработать мессенджер
Разработка мессенджера — трудоёмкий процесс. Здесь не получится нанять недорогих фрилансеров и выполнить работу за несколько дней. Бэкенд для такого приложения имеет свои сложности, и только грамотный подход позволит облегчить процесс, уменьшить срок разработки и её стоимость. Многое также будет зависеть от используемого стека технологий и реализуемых функций.
С разработкой корпоративного мессенджера справится только квалифицированная команда разработчиков и тестировщиков. Они сделают так, чтобы безопасность общения и решения бизнес-вопросов через мессенджер была конфиденциальной, а информация не утекла в посторонние руки.
Если хотите создать приложение-мессенджер не для узкого круга пользователей, а для всего мира, то надо планировать шире и дальше. Чтобы ваш новый мессенджер заметили, вам понадобится уникальная модель, дружелюбный пользовательский интерфейс, проработанный маркетинговый план.
Само создание мессенджера с нуля состоит из таких этапов:
Написание технического задания (если у вас его нет) — от 50 часов.
Бизнес-анализ и спецификация — от 40 часов.
UI и UX дизайн — около 150 часов.
Разработка бэкенда — от 500 часов, в зависимости от требуемых функциональных возможностей приложения и количества платформ.
Разработка мобильного приложения мессенджера — от 320 часов.
Тестирование — около 250 часов, в зависимости от количества платформ и функциональности.
Исходя из этих данных, стоимость MVP приложения начинается от 3 500 000 рублей и дальше зависит от факторов, усложняющих работу. Также следует заранее учесть, что после создания защищённого мессенджера, его надо поддерживать: исправлять возможные ошибки, дорабатывать старые и реализовывать новые функции. Такое обслуживание после релиза оплачивается отдельно.
Polygant занимается разработкой мобильных мессенджеров 10 лет. Создавая уникальные безопасные приложения, мы учитываем пожелания заказчиков и подстраиваемся под специфику деятельности. Пришлите заявку и после детального обсуждения мы сразу приступим к работе над вашим проектом!
Johnny Walker
Chief Editor
6 августа 2020 Updated on Обновлено
10 августа 2023