Как использовать шифрование сообщений в Slack

Вы когда-нибудь боялись, что вас начальник может прочитать сообщения в секретном канале, в котором вы делитесь мемами с котятами с вашим коллегой? Или вы не доверяете своему однокурснику, который создал канал Slack якобы для обсуждения спортивных событий, а на самом деле хочет получить доступ к вашим личным сообщениям?

Теперь ситуация улучшится. Разработан инструмент, который работает поверх Slack и позволяет вам зашифровывать сообщения, чтобы их мог прочитать только отправитель, а также адресат или несколько адресатов. Инструмент, разработанный компанией MindedSecurity, получил название Shhlack и доступен в виде браузерного расширения или патча для приложения Slack для Windows, Mac или Linux.

Если вы еще не знали, то действительно, ваш руководитель мог читать ваши сообщения Slack, независимо от того, в каком канале вы их отправляли. Администраторы Slack (которые могут быть в числе работников IT-подразделения вашей организации) получали доступ к сообщениям в пределах вашего рабочего пространства Slack. Недавнее обновление мессенджера упрощает администраторам задачу выгрузки журнала сообщений, включая личные сообщения.

Конечно, в наши дни многие приложения, в частности Signal, Wire, Wickr и другие, предлагают сквозное шифрование для коммуникаций. Это означает, что сообщений обрабатываются таким образом, что никто, кроме участников беседы, не может прочитать их содержимое. Однако, в Slack нативный инструмент для шифрования сообщений не предусмотрен.

Главный специалист по технологиям MindedSecurity Стефано Ди Паола отмечает:

Shhlack - экспериментальный проект с очень конкретной целью: простое в использование решение для безопасной передачи личных сообщений. Мы создали данный инструмент для защиты определенных сообщений от регистрации в Slack и экспорта в виде открытого текста.

Инструмент построен на базе JavaScript библиотеки CryptoJS. Shhlack сложнее и менее безопасен в использовании, чем другие средства шифрования сообщений. В отличие от Signal и других приложений для сквозного обмена сообщениями, Shhlack работает с так называемыми заранее установленными ключами совместного использования (PSK). Это значит, что сам инструмент не управляет ключами шифрования. Вам и вашему собеседнику нужно поделиться ключами самостоятельно. Вам надо будет отправить ключ шифрования в виде парольной фразы, прежде чем вы запустите первый зашифрованный чат Slack. Ключ надо отправить по другому каналу коммуникации, а не через Slack, в противном случае это нивелирует цель использования Shhlack. Воспользуйтесь Signal или передайте парольную фразу на листочке в реальном мире.

На данный момент Shhlack доступен в виде расширения для Chrome — это самый простой способ использовать инструмент. Имейте в виду, что в этом случае сообщения будут зашифрованы только, если вы используете Slack в браузере Chrome. Вы также можете установить патч для приложения Slack для Windows, Mac или Linux, следуя инструкциям Ди Паолы на странице Shhlack в GitHub.

Во время тестирования расширение для Chrome оказалось очень простым в использовании. В принципе, все, что вам нужно сделать — это установить расширение, поделиться секретной фразой и начать чат.

После установки Shhlack, рядом с диалоговым окном сообщения Slack появится яркий замок. Вы можете отправить зашифрованное сообщение, щелкнув по значку яркого замка или нажав Alt + S.

На этом этапе убедитесь, что вы используете кодовую фразу, которую вы отправили другу или коллеге. Все участники чата, получившие общий ключ, смогут читать сообщения. Остальные пользователи увидят бессмысленный набор символов.

Shhlack прекрасно работает даже в групповых чатах, где только один человек должен читать ваши сообщения.

Ди Паола отмечает, что Shhlack еще находится в разработке и его нужно улучшать. В частности, разработчики попытаются реализовать протокол Signal, чтобы отказаться от использования PSK ключей и повысить уровень защиты.

По материалам Motherboard