Web-приложение для обмена сообщениями с использованием средств защиты информации

Среди лидеров в этой сфере можно выделить следующие приложения (с данными активности пользователей на 2023 год):

-   «Telegram» - мессенджер, созданный Павлом Дуровым. Охват - 700 миллионов человек в месяц. Подобные цифры кажутся немыслимыми, ведь это чуть меньше десятой части живущих на этот момент людей на нашей планете. Этот мессенджер использует протокол шифрования «MTProto 2.0» и допускает применение сквозного шифрования;

-  «WhatsApp» - мессенджер, принадлежащий компании Meta. Один из ведущих лидеров по числу пользователей на данный момент. В нем используется сквозное шифрование, а протокол разработан на основе протокола «Signal Protocol» [1];

-        «Signal» - набирающее популярность приложение для обмена мгновенными сообщениями с открытым исходным кодом. Использует обязательное сквозное шифрование с уникальным и очень популярным протоколом «Signal Protocol», упомянутым ранее [2].

Целью выпускной квалификационной работы является разработка web- приложения для обмена сообщениями, представляющее собой мессенджер с реализацией средств защиты информации, средств аутентификации, хранения и передачи данных, а также анализ и сравнение имеющегося функционала web-приложения с современными аналогами, анализ существующих механизмов реализации безопасного и конфиденциального обмена информацией, оценка актуальности и обоснование выбора реализованных решений.

В задачи проекта входят:

1)       изучение  аналогов web-приложений для  обмена  сообщениями (мессенджеров);

2)         анализ  и   выбор  современных  решений,   реализованных  в приложениях-аналогах;

3)  выбор технологий и инструментальных средств для реализации web- приложения;

4)  разработка функционала приложения;

5)  разработка и внедрение средств защиты информации;

6)  тестирование приложения.

В разработке применялись современные решения, используемые в популярных мессенджерах, например, хранение переписок на стороне сервера, обмен сообщениями в режиме реального времени, протокол шифрования между клиентом и сервером, а также «end-to-end» или сквозное шифрование.

ВВЕДЕНИЕ..................................................................................................... 4

1.       Обоснование актуальности проводимых исследований.......................... 6

2.       Изучение аналогов.................................................................................... 8

3.       Функционал и структура интерфейса..................................................... 11

4.       Выбор решений....................................................................................... 15

5.       Структура проекта.................................................................................. 16

5.1.        Структура хранения базы данных...................................................... 17

5.2.        Файловая структура и устройство работы сервера........................... 19

5.3.        Файловая структура и устройство работы «socket»-сервера............ 22

5.4.        Файловая структура клиента............................................................... 22

6.       Протоколы обмена ключами и шифрования......................................... 25

6.1.        Клиент-серверные протоколы............................................................. 25

6.1.1.         Протокол SRP (Secure Remote Password)........................................ 25

6.1.2.         JWT-токен.......................................................................................... 27

6.1.3.         Алгоритм шифрования AES-GCM................................................... 28

6.2.        Клиент-клиентские протоколы............................................................. 31

6.2.1.         Протокол X3DH................................................................................ 32

6.2.2.         Протокол Double Ratchet Algorithm................................................. 35

7.       Тестирование web-приложения.............................................................. 39

7.1.        Валидация............................................................................................. 39

7.2.        Тестирование регистрации, авторизации............................................ 40

7.3.        Тестирование поиска и добавления в «Друзья»................................. 42

7.4.        Тестирование модификации учетных данных..................................... 44

7.5.        Тестирование интерфейса обмена сообщениями................................ 46

7.6.        Тестирование безопасности................................................................. 47

7.6.1.         Тестирование клиент-серверного шифрования................................ 48

7.6.2.         Тестирование клиент-клиентского шифрования.............................. 54

ЗАКЛЮЧЕНИЕ............................................................................................. 62

СПИСОК ЛИТЕРАТУРЫ............................................................................. 68

ПРИЛОЖЕНИЯ............................................................................................ 70

Приложение 1. Конвейер «middleware» в «app.js»..................................... 70

Приложение 2. «SRPEncryption.js»............................................................. 70

Приложение 3. «AESGCMEncryption.js».................................................... 71

Приложение 4. «MainApi.js»........................................................................ 74

Приложение 5. Контроллеры регистрации и авторизации «users.js»........ 77

Приложение 6. Серверное шифрование «encrypting.js»...................................... 80

1) Rubin, J. Security Analysis of the Signal Protocol / Rubin Jan. — Текст

: электронный // dspace.cvut.cz : [сайт]. — URL: https://dspace.cvut.cz/bitstream/handle/10467/76230/F8-DP-2018-Rubin-Jan- thesis.pdf?sequence=-1 (дата обращения: 04.04.2023).

2) Yagublu, L. The Signal Protocol for non-Cryptographers An Explanation of the Signal Protocol and its Security Properties / Lamiya Yagublu. — Текст : электронный // odr.chalmers.se : [сайт]. — URL: https://odr.chalmers.se/server/api/core/bitstreams/527d7251-f7f4-4a6c-ac7b- f8253d174336/content (дата обращения: 04.04.2023).

3) // What Socket.IO is. - URL: https://socket.io/docs/v4/ (дата обращения: 27.04.2023).

4) Lingappan, R. // What Is Secure Remote Password (SRP) Protocol and How to Use It? / Lingappan, R. - URL: https://medium.com/swlh/what-is-secure- remote-password-srp-protocol-and-how-to-use-it-70e415b94a76 (дата обращения: 27.04.2023).

5) // Как устроен AES. - URL: https://habr.com/ru/articles/112733/ (дата обращения: 27.04.2023).

6) Perrin, T. The Double Ratchet Algorithm / Perrin Trevor. — Текст : электронный // signal.org : [сайт]. — URL: https://signal.org/docs/specifications/doubleratchet/doubleratchet.pdf (дата обращения: 04.04.2023).

7) Общая картина модульного тестирования // Хабр. - URL:

https://habr.com/ru/companies/vk/articles/412695/ (дата обращения: 16.05.2023).

8) Ткачева. А. 3 способа валидации форм / Анастасия Ткачева // HTML Academy. - URL: https://htmlacademy.ru/blog/html/valid-forms (дата обращения: 16.05.2023).

9) Воробьёв. М. Гайд по DevTools: как открыть инструменты разработчика в браузере и чем они полезны / Михаил Воробьёв, Яна Сергиенкова // Яндекс.Практикум. - URL: https://practicum.yandex.ru/blog/devtools-instrumenty-razrabotchika/ (дата обращения: 16.05.2023).

10) Поговорим о централизованном логировании // Хабр. - URL:

https://habr.com/ru/articles/551582/ (дата обращения: 16.05.2023).