HAMAHAMA
UZ RU EN
BILIM BAZASI

End-to-End shifrlash nima?

End-to-End shifrlash (uchma-uch shifrlash) — bu xabarni faqat jo'natuvchi va qabul qiluvchi o'qiy oladigan, oradagi server esa hech qachon ochiq matnni ko'rmaydigan himoya usuli. Quyida uning mohiyatini, transport shifrlashdan farqini va HAMA'da qanday joriy etilganini tushuntiramiz.

Qisqacha

End-to-End shifrlashda xabar jo'natuvchi qurilmasida shifrlanadi va faqat qabul qiluvchi qurilmasida ochiladi. Shifrni ochuvchi kalitlar faqat qurilmalarda saqlanadi, shuning uchun server, provayder yoki o'rtadagi tajovuzkor yozishmani o'qiy olmaydi.

End-to-End shifrlash nima va u nimani anglatadi

End-to-End shifrlash (E2E, uchma-uch shifrlash) — bu axborotni himoyalashning shunday usuliki, unda xabar bevosita jo'natuvchining qurilmasida shifrlanadi va faqat qabul qiluvchining qurilmasida ochiladi. Ikki "uch" (end) — bu suhbatdoshlarning qurilmalari; ular orasidagi butun yo'lda, jumladan provayder, internet kanali va serverda, ma'lumot shifrlangan va o'qib bo'lmaydigan holatda qoladi.

Asosiy g'oya oddiy: maxfiy kalit — bu yagona narsa, u bilan xabarni ochib bo'ladi — hech qachon qurilmadan chiqmaydi. Server faqat "konvert"ni — shifrlangan baytlarni — uzatadi, lekin uning ichidagi matnni ocha olmaydi, chunki kalit unda yo'q.

Transport shifrlashdan farqi nimada

Ko'pchilik xizmatlar "shifrlashdan foydalanamiz" deganda transport shifrlashni (masalan, HTTPS yoki TLS) nazarda tutadi. Bu muhim, lekin yetarli emas. Farqni shunday tasavvur qiling:

  • Transport shifrlash (in-transit): xabar qurilmadan serverga uzatilayotganda himoyalangan, biroq serverga yetib borgach u ochiladi va ochiq matn ko'rinishida saqlanishi yoki qayta ishlanishi mumkin. Server (yoki uni nazorat qiluvchi) yozishmani o'qiy oladi.
  • End-to-End shifrlash: xabar jo'natuvchidan qabul qiluvchigacha bo'lgan butun yo'lda shifrlangan qoladi. Server faqat "ko'r kuryer" rolini bajaradi — u tashiydi, ammo o'qiy olmaydi.

Yaxshi tizimlar ikkala qatlamni birlashtiradi: E2E xabar mazmunini himoyalaydi, transport (TLS 1.3) esa metama'lumot va ulanishni tashqi kuzatuvdan yashiradi.

Nega faqat jo'natuvchi va qabul qiluvchi o'qiy oladi

Bu sehr emas, balki asimmetrik kriptografiya natijasi. Har bir foydalanuvchida kalitlar jufti bo'ladi: ommaviy (public) kalit, uni boshqalar bilan ulashish mumkin, va maxfiy (private) kalit, u faqat qurilmada qoladi.

  • Jo'natuvchi qabul qiluvchining ommaviy kaliti yordamida umumiy seans kalitini hosil qiladi va xabarni shifrlaydi.
  • Faqat qabul qiluvchining maxfiy kaliti bu seans kalitini tiklab, xabarni ochishi mumkin.
  • Maxfiy kalit qurilmadan chiqmagani uchun, oradagi hech kim — server ham — xabarni ocholmaydi.

Aynan shuning uchun E2E modelida "biz serverni ishonchli qildik" emas, balki "serverga ishonish shart emas" tamoyili ishlaydi: server buzilsa ham, undagi ma'lumotlar o'qib bo'lmaydigan shaklda qoladi.

Asosiy tushunchalar: kalitlar, oldinga maxfiylik, tasdiqlash

Kalitlar qurilmada

E2E ning yuragi — kalitlarning qayerda saqlanishi. Agar kalitlar serverda saqlansa, bu allaqachon E2E emas. To'g'ri amalga oshirishda kalitlar faqat foydalanuvchi qurilmasida, operatsion tizimning himoyalangan xotirasida turadi.

Oldinga maxfiylik (forward secrecy)

Zamonaviy protokollar har bir xabar yoki seans uchun kalitni yangilaydi. Shu sababli bir kalit fosh bo'lsa ham, undan oldingi yozishmalarni ochib bo'lmaydi.

Suhbatdoshni tasdiqlash

E2E faqat "kim bilan gaplashayotganingizni" bilganingizda ishonchli. Shuning uchun ishonchli tizimlarda kalit "barmoq izlari"ni (fingerprint) solishtirib, "o'rtadagi odam" hujumini istisno qilish imkoni bo'ladi.

HAMA'da bu qanday hal qilingan

HAMA — O'zbekiston tashkilotlari (biznes va davlat organlari) uchun yagona himoyalangan platforma. Yozishmalar uchun HAMA sanoat standartiga aylangan Signal protokolidan foydalanadi:

  • X3DH (Extended Triple Diffie-Hellman) — suhbatdoshlar onlayn bo'lmasa ham xavfsiz boshlang'ich kalit almashinuvini ta'minlaydi.
  • Double Ratchet — har bir xabar uchun kalitni yangilab boradi, bu esa oldinga va orqaga maxfiylikni beradi.
  • AES-256-GCM — guruh xabarlarini shifrlash uchun ishlatiladi.
  • TLS 1.3 — transport qatlamida qo'shimcha himoya sifatida.
  • Kalitlar OS secure store'da, lokal baza esa SQLCipher bilan shifrlanadi — qurilma o'g'irlansa ham yozishmalar himoyalangan qoladi.

Bundan tashqari, HAMA serveri O'zbekistonda joylashtiriladi yoki tashkilotning o'z infratuzilmasiga (on-premise) o'rnatiladi, ma'lumotlar mamlakat ichida saqlanadi. Platforma O'z DSt ISO/IEC 27001:2023 va PP-167 (kritik axborot infratuzilmasi) talablariga tayyorlanmoqda.

Tez-tez beriladigan savollar

End-to-End shifrlash bilan oddiy shifrlash o'rtasida farq bormi?

Ha. Oddiy (transport) shifrlash xabarni faqat tarmoq orqali uzatish paytida himoyalaydi, lekin serverga yetib borgach u ochib o'qiladi. End-to-End shifrlashda xabar faqat jo'natuvchi qurilmasida shifrlanadi va faqat qabul qiluvchi qurilmasida ochiladi — server hech qachon ochiq matnni ko'rmaydi.

Server xabarlarimni o'qiy oladimi?

To'g'ri amalga oshirilgan End-to-End shifrlashda yo'q. Shifrni ochuvchi maxfiy kalitlar faqat foydalanuvchilar qurilmalarida saqlanadi va serverga hech qachon jo'natilmaydi. Server faqat shifrlangan, o'qib bo'lmaydigan ma'lumotni uzatadi va saqlaydi.

HAMA qanday E2E protokolidan foydalanadi?

HAMA Signal protokolini qo'llaydi: kalit almashinuvi uchun X3DH va har bir xabar uchun kalitni yangilaydigan Double Ratchet. Guruh xabarlari AES-256-GCM bilan shifrlanadi. Transport darajasida qo'shimcha TLS 1.3 ishlatiladi.

Kalitlar yo'qolsa eski xabarlarimni o'qiy olamanmi?

Kalitlar qurilmaning himoyalangan xotirasida (OS secure store) saqlanadi va lokal baza SQLCipher bilan shifrlanadi. Qurilma yo'qolsa yoki kalitlar tiklanmasa, o'sha qurilmadagi eski yozishmalarni ochib bo'lmaydi — bu E2E modelining tabiiy narxi va ayni paytda himoya kafolati.

Tegishli maqolalar

HAMA

TLS 1.3 nima va nima uchun muhim?

 HAMA

Korporativ messenjerda ma'lumotlarni himoyalash

 HAMA

Ma'lumotlar suvereniteti nima?

Tashkilotingiz uchun haqiqiy E2E himoya

HAMA — O'zbekistonda ishlab chiqilgan, Signal protokoli va on-premise joylashtirish bilan biznes va davlat organlari uchun himoyalangan platforma. Joriy etish bo'yicha biz bilan bog'laning.

Biz bilan bog'lanish