Як і було анонсовано торік, Google Messages починає впроваджувати перевірку ключів за допомогою QR-коду, щоб підтвердити, що ви «спілкуєтеся саме з тією людиною, з якою мали намір».
Коли функція стане доступною, відкрийте потрібний чат у Google Messages та перейдіть на сторінку «Деталі», натиснувши ім’я співрозмовника у верхній панелі. Картка «Шифрування наскрізне» існує вже деякий час, але раніше опція «Перевірити шифрування» просто відкривала сторінку з 80-значним кодом.
Тепер з’являється вкладка «Безпека та конфіденційність» із пунктом «Перевірка ключів цього контакту». Google пояснює:
Навіщо перевіряти ключі? Це допомагає гарантувати, що лише ви та ваш контакт можете читати RCS-повідомлення.
- Як перевірити ключі? Відскануйте QR-код на пристрої співрозмовника, а потім дайте йому відсканувати ваш.
- Статус перевірки: інформацію про перевірені ключі можна переглянути в розділі «Підключені додатки» у застосунку «Контакти».
- Натискання «Ваш QR-код» відкриває вікно «Verification for Google Messages». Наразі інтеграція з «Google Contacts» ще не запущена.
Втім, у тій самій вкладці є пункт «Сканувати QR-код контакту», що відкриває застосунок Android System Key Verification, який уже попередньо встановлений на вашому пристрої.
Старий варіант із 80-значним кодом також залишається доступним — достатньо натиснути «Порівняти коди перевірки».
Ми бачимо цю функцію перевірки QR-кодів у найсвіжішій бета-версії Google Messages. У стабільному релізі її поки що немає. Торік Google заявляла, що новація з’явиться у 2025 році для пристроїв на Android 9+. Ця «уніфікована система перевірки відкритих ключів» буде доступна і для сторонніх застосунків.
Чому відсутність такої функції послаблює безпеку
Якщо користувачі не можуть перевірити, що їхні ключі шифрування справжні та відповідають ключам співрозмовника, зловмисник може спробувати підмінити ключі та перехоплювати повідомлення (атаку «людина посередині» — MITM). Без перевірки QR-коду неможливо гарантувати, що ваші RCS-повідомлення надійно шифруються саме для потрібного контакту, що істотно знижує загальний рівень безпеки комунікації.
Як це реалізовано в інших месенджерах
- WhatsApp — при відкритті «Інформації про контакт» доступна опція «Криптографічний ключ безпеки». Користувачі можуть порівняти QR-код або 60-значний код вручну. Це дозволяє перевірити, що ключі не підмінені.
- Signal — використовує «Код безпеки» для кожного чату. Його можна перевірити через QR-код або числову послідовність, яку співрозмовники звіряють між собою. Signal вважається еталоном у цій сфері.
- Telegram — перевірка доступна лише в «секретних чатах». Там генерується зображення (графічний ключ), яке обидва співрозмовники повинні порівняти, щоб упевнитися у відсутності стороннього втручання.
- Viber — у «секретних чатах» є опція «Довіряти контакту». Для підтвердження відображається QR-код, який потрібно відсканувати. Це гарантує, що ключ шифрування не був замінений.
- Threema та інші захищені месенджери — пропонують багаторівневу верифікацію: від простого підтвердження контакту до особистої зустрічі та сканування QR-коду.
Таким чином, Google Messages фактично наздоганяє практики, які вже кілька років є стандартом у найбільш безпечних месенджерах.
