Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
Telegram как средство внутренней и внешней политической борьбы или гениальнейший проект большого брата в современной истории
Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com
Всё написанное в этой заметке является художественным вымыслом. Совпадения с реальными людьми случайные. Сама история подслушана у бабушек около подъезда. Вся техническая часть упрощена.
Отождествление безопасности с конфиденциальностью переписки в Telegram
В Telegram есть два режима общения — облачный и секретный чаты. Секретный чат преподносится, как безопаснейшее средство общения, которое защищает конфиденциальность пользователей. В описании этого метода общения (в его продвижении) используются следующие фразы: сквозное шифрование, асимметричное шифрование, peer-to-peer, куча громких аббревиатур и прочие очень серьёзные термины и фразы. Даже бабушки у подъезда рассказывают, что серверы Telegram у себя ничего не хранят от секретного чата и доступа к его данным не имеют, даже если бы захотели, потому что там всё зашифровано. Конечно, это миф, но красивый.
Серверная часть Telegram является закрытой. А вот клиентская часть Telegram является открытой. Алгоритмы и API детально расписаны, что ещё больше убеждает людей в безопасности Telegram и наталкивает на мысль о конфиденциальности переписки.
Telegram использует классическое асимметричное шифрование для передачи ключей симметричного шифрования. И единственный канал взаимодействия участников общения — через серверы Telegram, т.е. контролируется третьей стороной. Асимметричное шифрование уязвимо перед классической атакой посредника (MITM, Man in the middle). Именно таким посредником являются сами серверы Telegram. Защититься от MITM можно с помощью дополнительного канала связи с гарантией доставки — сервис Telegram такой функциональности не предоставляет. Или с помощью стороннего независимого доверенного сервиса, который подтвердит ключи (личности) участников общения — сервис Telegram такой функциональности не предоставляет.
В любом момент на стороне серверов Telegram сработает условный рубильник относительно конкретных людей, и вся их секретная переписка перестаёт быть секретной, но они этого даже не заметят. Когда вам кто-то будет рассказывать о том, что сервис Telegram не может получить доступ к секретной переписке — это не соответствует действительности.
Когда пишут, что «Telegram должен передать какие-то ключи ФСБ», имеется в виду передать ФСБ информацию для декодирования принимаемых, передаваемых, доставляемых и обрабатываемых электронных сообщений. В случае Telegram — предоставить бэкдор (приватное API) на стороне сервера Telegram, с помощью которого можно было активировать посредника для определённых учётных записей в нужный момент. Например, как это делает Microsoft. В любом случае, конкретные требования не несут сути, которую декларируют. Их задача находится совсем другой плоскости.
Российские гении
В руководстве России, т.е. в ближайшем круге президента, которое имеет контроль над всеми институтами, процессами и ветвями власти в стране, гениальных людей единицы. Остальные выделяются только лояльностью и беспрекословной исполнительностью. Про непубличных гениев никто ничего не знает, на то они и непубличные. А из публичных, например, известен условный Владислав Юрьевич Сурков. Серый кардинал современной России, гениальный «Доктор Зло», который способен реализовать масштабнейшие и сложные по структуре проекты (и которые он реализовал), влияющие на поведение огромной массы людей. Он полностью поглощён тёмной стороной силы — силы денег и власти. Но это не отменяет его гениальность.
Условный Павел Валерьевич Дуров — простой российский гений. Он не совершил никаких открытий, не создал ничего прорывного. Но он гениальный менеджер, способный превратить обычное ничто в «мою прелесть». ВКонтакте и Telegram являются тому доказательством. У каждого человека есть причины делать то, что он делает. Что движет его гений? Деньги? У Дурова их уже предостаточно для любой жизни. Власть? Он ни разу не был замечен в желании бесконечной власти, хоть возможностей у него было много. Борьба за мир во всём мире? Нет, мы же все по сути эгоисты, кто-то больше, кто-то меньше. Тщеславие и страсть? Бинго!
Очень странные дела
В России институт журналистики практически разрушен. Но ещё остаются оплоты, где работают журналисты по призванию с большой буквы Ж. Один из них — «Новая газета». В 2013 году «Новая газета» опубликовала письмо господина Дурова господину Суркову (на тот момент первый заместитель главы администрации президента) из далёкого 2011 года. Естественно, подтвердить его подлинность невозможно. Уверенность в его подлинности полностью зависит от вашего личного доверия к конкретному СМИ. Из письма следует, что сеть ВКонтакте находилась под определённым контролем со стороны администрации президента и ФСБ уже несколько лет, Павел Дуров с ними активно сотрудничал. В письме Павел Дуров со страстью излагает Суркову своё мнение о том, как улучшить доверие пользователей, не вызывая лишних подозрений, и как правильно бороться с инакомыслием. Как вообще контролировать Интернет и массы.
Павел Дуров: "Когда переезжаете полицейского, важно проехать взад и вперёд — чтобы вышла вся мякотка". В этом же 2013 году происходят очень странные события, а именно — человек, похожий на Павла Дурова сбивает сотрудника ДПС и скрывается. В офисе Вконтакте проходят обыски. Силовики давят на Дурова. Заканчивается всё так же быстро и мутно, как и начиналось. Уголовное дело закрыто, все довольны, все свободны.
В этом же 2013 году господин Дуров меняет свой образ на праведника и борца, публично рассуждает о свободе в России (да, какие-то взгляды могут меняться, но сами люди никогда). Начинается история восхождения мессенджера Telegram. Без технологического прорыва, без новшеств. Но продвижение продукта и проекта в целом было организовано Дуровым на высшем уровне, потому что он гений.
Наши дни
Telegram блокируется в России.
Безопасность Telegram уже отождествлена с конфиденциальностью в умах многих людей во всём мире. А ведь маховик этого отождествления ещё только начал раскручиваться. Спросите у прохожих на улице в разных странах, знают ли они о безопасных мессенджерах? И часть из них с уверенностью ответит, что это Telegram. О других безопасных мессенджерах они ничего не знают. И эта уверенность будет только нарастать. Некоторые страны и Россия дали этой уверенности в мировом масштабе мощнейшее ускорение, создав мощнейший инфоповод.
Когда в следующий раз условный господин Макрон (а он использует Telegram) будет вести стороннюю переписку о важных делах со своими французскими коллегами, укрывшись несколькими сверхбезопасными туннелями VPN, которые ни одна спецслужба в мире не сможет взломать, конфиденциальность его переписки будет нарушена. Потому что не нужно ничего взламывать, достаточно открыть чёрных ход в конечной точке этого шифрованного клубка — Telegram. Вся важная часть этой переписки через несколько часов уже будет лежать у куратора из ближайшего круга президента. Когда в следующий раз условный господин Навальный будет вести переписку с условным господином Албуровым* , укрывшись безопасными туннелями VPN и Tor одновременно, которые практически невозможно взломать, конфиденциальность его переписки будет нарушена. А о его планах через несколько часов будет знать куратор из ближайшего круга президента.
Внутри России небольшая, но очень активная часть населения уже умеет пользоваться VPN и подобными средствами защиты своей конфиденциальности. Получить доступ к их переписке становится всё сложнее. После блокировки Telegram эти люди ещё больше уверуют в конфиденциальность переписки в этой программе. Telegram ещё больше войдёт в их обиход. Эти люди сами себя за волосы вытягивают из своей же зоны безопасности.
И в это же самое время тысячи людей в России «протестуют» (возмущаются) против блокировки Telegram, нагнетая отождествление безопасности Telegram с конфиденциальностью не только в России, но и во всём мире. «Верните нам Telegram», «Я скорблю со всем миром», «Позор Роскомнадзору», «Telegram помогал Гуфу жить», «Моя тян меня бросит без Telegram» и прочие раздирающие душу лозунги и посты можно встретить в последние дни. А условный господин Дуров продолжает публиковать изречения о покалеченных судьбах России и россиян.
Новость про вливание денег в VPN-сервисы идеально вписывается в образ праведника и борца, и ещё больше подгоняет людей в зону Telegram (по всему миру). Большой брат открывает всем им свои широкие объятья. Люди сходя с ума по Павлу Дурову в образе рыцаря, идущего против системы. Даже журналисты воспринимают его действия за чистую монету.
Итог
Владислав Юрьевич и Павел Валерьевич, мужики, я шляпу не ношу, но надену зимнюю шапку Abibas и перед вами её сниму. Не все ещё осознают масштаба проекта, который вы реализовали. Надеюсь, что доживу до того дня, когда увижу двухчасовую экранизацию, основанную на реальных событиях. Конечно, суть этого проекта — концентрированное зло в дистиллированном виде, но это гениально.
* — Албуров Георгий Валентинович признан иностранным агентом
Вообще то, доказательств что телега безопасная тоже нет.
Те конкурсы которые были на взлом, к ним ещё тогда были претензии в том, что криптоаналитики не работают в такой манере, они работают за гарантированные деньги.
Кроме того ничего нигде не написано про возможности митм, это концептуальная проблема и она в телеге не решена.
Есть у меня простая мысль, как у человека мало-мало понимающего. Вся эта возня с мессенджерами, а поверьте, скоро и остальные прихлопнуть, спровоцирована опсосами на волне истерии с терроризмом.
Ну, кто вспомнит, когда последний раз отправлял смс?
Пользуюсь телегой не из-за приватности, а потому что она отлично работает, быстро синхронизируется, в ней удобно искать файлы и документы, есть интересные каналы, ну и так далее, и тому подобное.
Я могу привести тоже десятки причин, почему я пользуюсь Telegram. При этом, если я перейду на другой мессенджер (которыми пользуюсь), то после адаптации качество и удобство моего общения никак не пострадает.
Но речь не об удобстве. Речь об искусственной ситуации с Telegram.
Если серьёзно — то для большинства обычных пользователей мессенджеров (которые имеют весьма примерные представления о шифровании, кибербезопасности и прочих сложных вещах) потеря Telegram несущественна: и ICQ, и TamTam, и Viber, и даже 4talk вполне заменят утраченное. Тем не менее, это не повод лишать людей того, к чему они привыкли, а сам факт усердной борьбы с «терроризмом» путём «эффективной деградации» (sic!) вызывает вполне обоснованное возмущение.
P.S. Не знаю ни одного человека, который отказался от Telegram в связи с блокировкой.
Я отказался.
Меня им на работе заставляли пользоваться.
Теперь я сказал что оно запрещено и не стабильно, поэтому нахер.
Про то что оно не безопасное у нас никто не возражал и ранее.
Я имею представление о безопасности и я телегой не пользуюсь.
Кто сказал, что она безопасная? В чем заключается безопасность?
Шифрование не дает гарантии безопасности.
Максимум, она обещает что когда сообщение летит, в полете никто его не прочтет.
Но вот беда. Сообщение можно словить на выходе или на входе. Где уже нет шифрования.
Очередная «теория заговора» и «занимательная конспирология». Раньше такие статьи на 3DNews писал в «Offсянке» персонаж под ником «Бёрд Киви». Правда, уже полгода, как не пишет — видимо, ресурсу не охота было портить свою репутацию. :)
Бёрд Киви, не один автор — это сборная солянка из бывших авторов бумажной компьютерры. Навскидку — Козловского и Голубицкого, возможно, еще кого-то, но эти главные.
Логика глобального мира такова, что мессенджер или соцсеть будут популярны, только если кто-то их сможет контролировать: ЦРУ, ФСБ, не важно. Если что-то будет действительно независимое и невзломаемое, тогда оно не станет популярным. Не дадут.Иногда логика дает возможность рассуждать, не будучи специалистом в данной сфере, как в например в шифровании данных.Где реализация настоящего безсерверного общения (p2p)? Или, если без сервера никак нельзя — сделать их условно большое количество, типа каждый может поднять сервер (как в забытом DC++)?Поэтому не надо «лохматить бабушку», пользуйся чем удобно, и не расчитывай, что за тобой не заследят, как только станешь кому-то нужен.
Проект Telegram мог бы принести России миллиарды НЕ-нефтяных долларов, как приносит WhatApp, придуманный киевлянином, в казну США.
Теперь, благодаря «большому уму» наших руководителей, эти доллары потекут мимо России.
Вот и вся правда, у урок нашей молодежи: придумали что-то гениальное — первым делом валите из России!
1. Почему вацапп тогда принёс деньги сша а не киеву?
2. Сколько он их там принёс?)
На самом деле месенгеры не монетизируются от слова совсем.
АОЛ пробовал не вышло, МС пробовал уже раза 2-3 — опять не вышло.
Мейлру особо и не пробовал монетизировать (разве что история с смс).
Скайп тоже не смог монетизировать.
Всё дело в том, что централизованный месенгер обречён всегда, это аксиома доказанная много раз за последние 20 лет.
Скайп пока был п2п держался кое как на самофинансировании, благодаря тому что им не нужна была инфраструктура большая, были миллионы юзеров онлайн, гоняли голос и видео и всё было ок.
Для чисто централизованных сервисов всегда наступает точка когда расходы на инфраструктуру становятся больше доходов.
Доходы с месенгеров поднять трудно на конкурентном рынке, потому что всегда есть месенгеры где ещё бесплатно а в остальном примерно так же.
Те месенгер на 10к юзеров пишется студентом за пиво и работает на компе с помойки на домашнем безлимите.
Месенгер на 1м уже на нормальном сервере в серверной.
На 100м тебе нужны уже минимум десятки серверов в разных локациях, люди которые обслуживают, плата за каналы, отдельная боль с синхронизацией и обновлениями, потом у тебя отрастает бухгалтерия, юрист, безопасники, отдел по работе с жалобами и прочая фигня которая тебе и не снилась и всем им надо платить.
При этом юзеры платить не хотят, потому что всегда есть бесплатные чатики.
Вот у китайцев вичат почти монополия которая встроилась в экономику, они могут стричь бабло потому что они не только сообщениями занимаются но и на денежных потоках сидят.
Везде происки Суркова, ага. По моему, это паранойя.
Про Новую газету смешно. Обычный пропагандистский ресурс, просто с противоположным большинству других знаком.
Вряд ли Макрон будет использовать обычный смартфон для общения на секретные темы. Скорее уж заблокированный и защищенный, на который никаких приложений из магазина не поставить.
Но что разумно в статье, что рассчитывать на безопасность и конфиденциальность телефонов теперь невозможно. Гугл, фейсбук и все кому не лень получают доступ к микрофону и слушают все что хотят. Следят за всеми перемещениями, гугл мне присылает о них ежемесячный отчёт. Это уже ни для кого не тайна.
Если Вы не в курсе, знать о Вашем местоположении — это основной принцип работы сотовых сетей (технический, а не идеологический). Так что любой человек, у которого включен телефон, сообщает кому-то о своем местоположении. :)
Уничтожить их можно только физически, для этого нужно остекловать пару городов в РФ.
Дискредитация — это очень тонкая работа, такое долго готовится.
Если топить по тупому, то это наоборот привлечёт людей которые не хотят чтобы их местные силовики могли читать их переписку.
Может ты не знаешь, но есть много людей которые не доверяют AES, но доверяют gost89 и это люди не с территории бывшего ссср.
Точно так же и с месенгерами.
Действительно безопасным является только пир ту пир с шифрованием канала между ними чем то находящимся у одного из пиров. Т.е. безопастный мессенджер должен только сводить клиентов друг с другом (IP клиентов при этом могут быть под тором, VPN и другими анонимайзерам), а общаться они должны по прямому шифрованному каналу между собой, без посредника в виде сервера мессенджера. История сообщений должна храниться прямо на клиенте, с возможностью поставить где то галку и при этом она будет уходить и на сервер мессенджера в зашифрованном виде. У телеграмма я так понял всего этого нет…
В токсе у качестве идента используется твой публичный ключ, которые получается из приватного. А приватный ключ генерируется при первом запуске или когда ты там кнопочку нажмёшь.
А как возможно создать p2p соединение если оба участника сидят за nat'ом? Любой tor или vpn в этом случае такой же посредник способный подменять ключи и слушать трафик и ничем не лучше того же телеграмма.
Это немного другая часть общей системы конфиденциальности (т.е. нельзя её сравнивать с Telegram напрямую). В случае VPN у вас всегда есть возможно выбора сервера, которому вы доверяете (хоть свой собственный в любой стране). Ну, а самое главное, в случае VPN у вас есть возможность пользоваться доверенным сервисом, который подтвердит ключи. Вы полностью защищены от MITM.
Существуют разные способы прохода NAT.
Кроме того скоро будет IPv6 там не будет проблем с NAT.
Тор и впн ключи подменить не могут, если ты проверишь эти ключи по сторонним каналам.
Те никто не подменит твой ключ если ты его на визитке напечатал, или подмена сразу вскроется как только ты по телефону продиктуешь.
Возможно, вы зациклились на особенностях шифрования и возможностях серверной стороны. А между тем, нет никаких гарантий, что клиентская часть телеги не ослабляет шифрование (например укорачиваяили упрощая ключ) или не отправляет нечто (не обязательно на основной сервер), кардинально облегчающее дешифровку.
Кто-то еще доверяет открытому ПО? Кто-то постоянно проверяет КАЖДУЮ выходящую версию софта?
1. Ты передёргиваешь.
Ассиметричная крипта используется для обмена/генерации ключа для симметричной крипты.
Если ты митмиш то у участников получится ключ для симметричного шифрования не между ними двумя а между тобой и ими.
Диффи-хелман тут вообще никак не поможет.
2. Так в телеге никто ничего не говорит про такие тонкости, просто орут что безопасно.
Ребята, я так понял, что мне кто-то денег должен за заметку. Но так и не понял, где мне их получить. Отдаю 50% гонорара тому (я справедливый), кто подскажет куда мне идти или к кому обратиться за деньгами.
Я прям разрываюсь в выборе. Сейчас найду в записной книжке телефоны администрации президента России и госдепартамента США. Организую конференц-связь, пусть уж объяснят и разберутся, кто именно мне будет платить :).
Сурков (в девичестве — Дудаев) должен заплатить, не зря же Вы его гением назвали. Хотя я бы за ущерб, нанесенный его «спецоперациями» экономике и имиджу России, назвал бы его несколько иначе. :)
Какое бы зло он не делал (о чём указано в заметке), разве вы не согласны, что он гений? Разве его хитросплетённые проекты не являются доказательством этого? Гений не обязан быть положительным, это никак не связано.
• Согласно данным TGStat.ru, в день блокировки Telegram число просмотров в 40 тыс. русскоязычных каналах суммарно выросло на 30 млн. Это примерно на 17% больше, чем в среднем.
• Суммарный прирост подписчиков по всем каналам составил 270 тыс.
Pidgin, Signal, Tox, Tor Messenger, Jitsi, Ring
Но только тележка не содержит навязчивой рекламы и обросла множеством интересных и качественных каналов.
ГСПЧ на элиптических кривых у них тоже разрешён и рекомендован для применения в гос учреждениях.
Только один нюанс — у АНБ в загашниках ключик от него есть.
Те если вы хотите чтобы они вас могли… читать то можете следовать рекомендациям. )
А я не в курсе что там в FIP-140, мне оно вообще не интересно.
Dual_EC_DRBG — нельзя было взломать, у него стойкость элиптических кривых. Это был бэкдор для обладателя ключа.
Притом я не уверен что оно изначально планировалось как бэкдор для чужих. Вероятно это была отмычка чтобы анб могло среди своих госов спокойно иметь везде доступ без содействия на местах. А дальше все тупо скопировали американский стандарт и стали юзать. Вроде даже где то было написано что нужно менять тот публичный ключ при имплементации и типа то что в стандарте оно как пример. Но тут я не уверен. Точно что оно шло как некий параметр. И точно что его не обязательно было оставлять, потому что ГСПЧ один фиг даёт мусор и типа воспроизводимость не нужна.
Правда сейчас ходят слухи что элиптику научились ломать.
Это вымысел, о чём указано в самом начале. Перечислите, какие именно подтверждения, и в каком виде вас удовлетворят? Но и без них… Во-первых, передача данных, используя ассиметричное шифрование, без дополнительных условий уязвима для атаки посредника по определению. Во-вторых, Дуров вовсе не тот человек, образ которого он сейчас создаёт (его реальный образ явно виден в письме Суркову). Разве этого мало? Мои познания тут вообще значения не имеют.Банальный пример — спецслужбы Франции и США. Которые считают, что Telegram может использоваться в интересах российских спецслужб и Кремля.
Вы, я так понимаю, при написании этого «письма Суркову» присутствовали? Если нет, то какие у вас основания считать что его писал Дуров, а не кто-то из людей самого Суркова например? Все известные писатели этого письма от авторства категорически отказались, о чем написано в той же статье на которую вы ссылаетесь. Но в ваш «образ Дурова» это почему то не вошло.
Очень странные рассуждения у вас. Когда вскрывается подобное, никто и никогда ни в чём не признается и не подтвердит. Здесь не суд и не следствие. Верить в подлинность письма или нет, зависит только от доверия кокретному СМИ. Я этому СМИ, журналистам этого СМИ и источникам этого СМИ доверяю полностью, авторитет у них непоколебимый.
Ваша печаль в том, что Дуров сам вас слил.https://ria.ru/society/20180418/1518869516.html
Вот если бы он это не объявил, то ваша статья была бы принята как искренняя забота о конечном потребителе. А так остаётся впечатление что это просто пиар-компания Дурова, причём не бесплатная.
Меня? И что значит слил? Я вообще-то пользуюсь Telegram, моя переписка не представляет никакой ценности для спецслужб и режима.Вы не хотите посмотреть глубже. Эта новость про вливание денег в VPN сервисы идеально вписывается в образ праведника и борца (что, естественно, не так — взгляды людей могут меняться, а вот люди нет), и ещё больше подгоняет людей в зону Telegram (по всему миру). Большой брат открывает всем им свои широкие объятья.
«Слил» — это значит что им фактически заявлено что во всей этой катавасии с Telegram`ом есть финансовая сторона. Мало того, сам Дуров эти деньги и платит.Т.е. все стенания по поводу «загубленного мессенджера» могут быть просто проплачены. И на вашу статью пала большая тень. Увы!
Это банальный вброс конфетки собачкам на драчку.
К тому же телега становится токсичной и очень скоро хостеры их выгонят, тому же амазону важнее чтобы остальные клиенты были довольны, а сейчас весь амазон вынесли из за одной телеги. Это плохо для бизнеса.
Наиболее печален тот факт, что из второго раздела Конституции РФ действующих статей уже и не осталось (вот конкретно в этом случае — 23 и 24 нарушаются).
И всем пофиг.
Если вы не заметили красоту… Все пропагандистские СМИ освещают тему Telegram нейтрально (или совсем не освещают). Потому что эта аудитория никому не нужна для реализуемого проекта, а их негативный фон только замедлит движение нужной аудитории в загон. Классические твинки/боты в Facebook и Twitter (которые работают один в один, как боты с Савушкина) защищают Дурова и Telegram от любых нападок, т.е. пытаются пресечь попытки дестабилизации отождествления Telegram с конфиденциальностью, пытаются поддержать образ Telegram, как опозиционного российской власти сервиса, пытаются поддержать чистый и светлый образ Дурова, как праведника и борца. Ну, разве не великолепно? Самое печальное, что практически все условно независимые СМИ тоже клюнули на это./>
1. Паша гений пеара. Но ему помогают: если я буду постить такие и по интереснее чатики и новости ни одно СМИ на меня внимания не обратит, а тут каждый чих обсасывается.
2. Телега не безопасна, там нет инноваций. Безопасность телеги не отличается от безопасности аськи и агента, все те же клиент-серверные технологии из 90х.
Сам протокол — кривой и косой, авторы режут и склеивают строки для хеширования и получения ключей, прямо как Денис Попов, вместо использования hmac и kdf, для меня одно это много говорит.
sha1_a = SHA1 (msg_key + substr (auth_key, x, 32));
и в новом так же
msg_key_large = SHA256 (substr (key, 88+x, 32) + plaintext + random_padding);
Они так же как апач и другие приложили dh_prime, и не отозвали, хотя вот только недавно было что апач и кое где нгинх положили в пакеты везде один и тот же dh_prime, в результате чего анб могло вложится и просчитать заранее параметры и потом довольно быстро всё вскрывать благодаря заранее проведённым расчётам.
Про митм и говорить смысла нет, всё держится на доверии серверам телеги. Приходит тебе приглашение в секретный чат а откуда ты знаешь что публичный ключ в приглашении тот самый который тебе отправил друг?
Это концептуальная проблема которая до сих по не имеет красивого решения. Одно решение это третья сторона, которой доверяют — центры сертификации. Другое сети доверия, когда все друг с другом ключами обмениваются в реальной жизни — пгп и иже с ним.
А тут о проблеме и её решении ни слова.
3. ИМХО ситуация с телегой готовилась сильно заранее, к «выборам».
ЦА — активная молодая часть населения тут, и всякие фрики-ватники-параноики там.
После «выборов» ничего не было, но подвернулись другие два повода от которых нужно было отвлечь внимание и суд быстренько принял решение, которое никто не стал обжаловать и спектакль перешёл от вялого пеара (бокса по переписке) к активной фазе от которой у многих бомбит.
4. Где то читал что Паша и Усманов чуть ли не друзья.
Усманов это вк, одноглазники, мылору, аська.
5. А никто не задавался вопросом: почему Паше сходит с рук такое поведение?
Почему у него и его друзей, родственников и партнёров тут не возникают никакие неприятности, обыски и изъятия не проводят?
6. Типа конкуренты.
Сигналу я точно так же не верю, хотя там собрались реальные криптографы.
Как минимум в сигнале опять всё идёт через их сервера и тебя в любой момент могут отключить, не говоря о том, что информация кто с кем, когда и сколько переписывался тоже ценная, даже знания о содержании.
Пользуюсь токсом, там хотя бы тебя никто связи не лишит и ключи требовать не от кого, как и блочить нечего.
Месенгеры использующие номер телефона — презираю, это шаг назад к телефонной эпохе, гнилой насквозь и насквозь контролируемой.
Вы не представляете, как сложно увидеть людей, которые будут солидарны с этой точкой зрения. Хоть, вроде бы, всё ясно, как в ясный день. Но всё равно, люди уже так уверовали в конфиденциальность Telegram, непогрешимость господина Дурова, что даже готовы эту точку зрения защищать (но защищать нечем в реальности). Конечно, в первую очередь это недоработка СМИ, которые с помощью своего авторитета могут переломить тренд.
Меня просто дико достали новости про телегу, они из всех щелей прут, выборы и то как то незаметно пролетели.
Оффлайновые то события важнее были, там люди погибли, а тут такой шум из за заурядного месенгера.
Я тут писал, вспомнил про скайп.
Там же точно такой же пеар был одно время.
Мол вот полиция франции/италии/испании никак не могла подслушать и поймать котико-боронов которые говорили только по скайпу. Скайп невозможно взломать и подслушать…
А теперь там п2п выпилили и оно под крылом АНБ, наверняка они в МС деньги засылают на содержание, потому что я очень сомневаюсь что такой сервис можно окупить.
С моей точки зрения любая компрометация и блокировка централизованного сервиса — это огромный плюс, может хоть до кого то дойдёт.
Любой большой централизованный сервис это зло, ибо он начинает лезть в политику, а политика в него.
Не удивлюсь если какой нибудь гитхаб лет через 5-10 начнёт выкидывать пользователей из неугодных стран.
И тп.
Не должно так быть что:
— тебя подслушивают все кому не лень
— тебя могут оставить без связи когда захотят
— тебе навязывают о чём можно говорить а о чём нельзя
Я конечно понимаю что пользуясь сайтом я в гостях, но это не идёт на пользу обществу, общество должно саморегулироваться, если мне не нравится чьёто мнение то это повод для пополнения моего личного игнор листа а не глобального.
В общем это всё приводит к п2п месенгерам, социалкам и прочему.
Притом он уже есть, но ВСЕ стараются про них не упоминать.
У нас: вам не нравится агент, аська — тогда используйте телеграм, он такой безопасненький.
У них: вам не нравится вайбер, вацап, тогда пользуйтесь сигнал, его делали известные криптографы, там всё секурненько.
А персональные коммуникации это вообще тема привлекающая людей с отклонениями в психике. Просто нормальные люди не стараются всеми способами подслушивать других а то и вообще цензурировать.
Когда будет прецедент, тогда и можно будет делать выводы. А сидеть через 3 VPN и общаться через сторонний сервис, надеясь на приватность — не самое умное решение. Куда надежнее использовать, например, PGP и любой открытый канал связи — конфиденциальность гарантирована. Так чего же хочет государство?
Если вы когда-нибудь задумывались, зачем вашему коту или кошке нужны такие длинные усы, то вы не одиноки. Когда впервые, еще в детстве у меня дома появился кот, я также задавался этим вопросом. Мой...
Челябинск — один из крупнейших и самых известных городов России, расположенный в самом центре Урала, на берегах реки Миасс. Сегодня это крупный индустриальный, культурный и научный...
Сегодня у нас есть сотни друзей в соцсетях, десятки мессенджеров и круглосуточный доступ к общению. Но почему тогда каждый третий человек признаётся, что чувствует одиночество? Этот...
Когда разговор заходит о сборке или апгрейде компьютера, большинство пользователей первым делом смотрят на новые платформы и процессоры. Однако далеко не всегда это разумный путь. В условиях, когда...
Долгое время камеры Hasselblad и Leica были ассоциированы с дорогой и престижной техникой для профессионалов. Даже при стоимости в десятки тысяч долларов, они продолжают пользоваться спросом. В...
Есть такое странное ощущение: вроде покупаешь новую технику, всё блестит, работает, шумит тише, функций в пять раз больше, а через пару лет — то сгорит, то треснет, то просто перестаёт...
86 комментариев
Добавить комментарий
Те конкурсы которые были на взлом, к ним ещё тогда были претензии в том, что криптоаналитики не работают в такой манере, они работают за гарантированные деньги.
Кроме того ничего нигде не написано про возможности митм, это концептуальная проблема и она в телеге не решена.
Дуров сказал, ты обязан ему верить!!!
;)
Ну, кто вспомнит, когда последний раз отправлял смс?
Как можно о террористической атаке объявить заранее? )
А про терроризм верно сказано—просто ширма.
Всем PGP!
Нормальная практика для нормальных компаний.
Но, вообще, брать бабло за такого рода джинсу, конечно, не возбраняется.
Но речь не об удобстве. Речь об искусственной ситуации с Telegram.
Если серьёзно — то для большинства обычных пользователей мессенджеров (которые имеют весьма примерные представления о шифровании, кибербезопасности и прочих сложных вещах) потеря Telegram несущественна: и ICQ, и TamTam, и Viber, и даже 4talk вполне заменят утраченное. Тем не менее, это не повод лишать людей того, к чему они привыкли, а сам факт усердной борьбы с «терроризмом» путём «эффективной деградации» (sic!) вызывает вполне обоснованное возмущение.
P.S. Не знаю ни одного человека, который отказался от Telegram в связи с блокировкой.
Меня им на работе заставляли пользоваться.
Теперь я сказал что оно запрещено и не стабильно, поэтому нахер.
Про то что оно не безопасное у нас никто не возражал и ранее.
Кто сказал, что она безопасная? В чем заключается безопасность?
Шифрование не дает гарантии безопасности.
Максимум, она обещает что когда сообщение летит, в полете никто его не прочтет.
Но вот беда. Сообщение можно словить на выходе или на входе. Где уже нет шифрования.
Ответ Ayli на комментарий
Jabber?
Теперь, благодаря «большому уму» наших руководителей, эти доллары потекут мимо России.
Вот и вся правда, у урок нашей молодежи: придумали что-то гениальное — первым делом валите из России!
1. Почему вацапп тогда принёс деньги сша а не киеву?
2. Сколько он их там принёс?)
На самом деле месенгеры не монетизируются от слова совсем.
АОЛ пробовал не вышло, МС пробовал уже раза 2-3 — опять не вышло.
Мейлру особо и не пробовал монетизировать (разве что история с смс).
Скайп тоже не смог монетизировать.
Всё дело в том, что централизованный месенгер обречён всегда, это аксиома доказанная много раз за последние 20 лет.
Скайп пока был п2п держался кое как на самофинансировании, благодаря тому что им не нужна была инфраструктура большая, были миллионы юзеров онлайн, гоняли голос и видео и всё было ок.
Для чисто централизованных сервисов всегда наступает точка когда расходы на инфраструктуру становятся больше доходов.
Доходы с месенгеров поднять трудно на конкурентном рынке, потому что всегда есть месенгеры где ещё бесплатно а в остальном примерно так же.
Те месенгер на 10к юзеров пишется студентом за пиво и работает на компе с помойки на домашнем безлимите.
Месенгер на 1м уже на нормальном сервере в серверной.
На 100м тебе нужны уже минимум десятки серверов в разных локациях, люди которые обслуживают, плата за каналы, отдельная боль с синхронизацией и обновлениями, потом у тебя отрастает бухгалтерия, юрист, безопасники, отдел по работе с жалобами и прочая фигня которая тебе и не снилась и всем им надо платить.
При этом юзеры платить не хотят, потому что всегда есть бесплатные чатики.
Вот у китайцев вичат почти монополия которая встроилась в экономику, они могут стричь бабло потому что они не только сообщениями занимаются но и на денежных потоках сидят.
Про Новую газету смешно. Обычный пропагандистский ресурс, просто с противоположным большинству других знаком.
Вряд ли Макрон будет использовать обычный смартфон для общения на секретные темы. Скорее уж заблокированный и защищенный, на который никаких приложений из магазина не поставить.
Но что разумно в статье, что рассчитывать на безопасность и конфиденциальность телефонов теперь невозможно. Гугл, фейсбук и все кому не лень получают доступ к микрофону и слушают все что хотят. Следят за всеми перемещениями, гугл мне присылает о них ежемесячный отчёт. Это уже ни для кого не тайна.
Уничтожить их можно только физически, для этого нужно остекловать пару городов в РФ.
Дискредитация — это очень тонкая работа, такое долго готовится.
Если топить по тупому, то это наоборот привлечёт людей которые не хотят чтобы их местные силовики могли читать их переписку.
Может ты не знаешь, но есть много людей которые не доверяют AES, но доверяют gost89 и это люди не с территории бывшего ссср.
Точно так же и с месенгерами.
Действительно безопасным является только пир ту пир с шифрованием канала между ними чем то находящимся у одного из пиров. Т.е. безопастный мессенджер должен только сводить клиентов друг с другом (IP клиентов при этом могут быть под тором, VPN и другими анонимайзерам), а общаться они должны по прямому шифрованному каналу между собой, без посредника в виде сервера мессенджера. История сообщений должна храниться прямо на клиенте, с возможностью поставить где то галку и при этом она будет уходить и на сервер мессенджера в зашифрованном виде. У телеграмма я так понял всего этого нет…
И даже это не обязательно — можно проверить авторизацию и через блокчейн, а для поиска использовать механизм, похожий на DHT.
В токсе у качестве идента используется твой публичный ключ, которые получается из приватного. А приватный ключ генерируется при первом запуске или когда ты там кнопочку нажмёшь.
Кроме того скоро будет IPv6 там не будет проблем с NAT.
Тор и впн ключи подменить не могут, если ты проверишь эти ключи по сторонним каналам.
Те никто не подменит твой ключ если ты его на визитке напечатал, или подмена сразу вскроется как только ты по телефону продиктуешь.
Ответ AlexVR на комментарий
Возможно, вы зациклились на особенностях шифрования и возможностях серверной стороны. А между тем, нет никаких гарантий, что клиентская часть телеги не ослабляет шифрование (например укорачиваяили упрощая ключ) или не отправляет нечто (не обязательно на основной сервер), кардинально облегчающее дешифровку.
Кто-то еще доверяет открытому ПО? Кто-то постоянно проверяет КАЖДУЮ выходящую версию софта?
Ассиметричная крипта используется для обмена/генерации ключа для симметричной крипты.
Если ты митмиш то у участников получится ключ для симметричного шифрования не между ними двумя а между тобой и ими.
Диффи-хелман тут вообще никак не поможет.
2. Так в телеге никто ничего не говорит про такие тонкости, просто орут что безопасно.
Либо у кровавого госдепа, либо у кровавой гэбни )))
Разумно будет сыграть тендер — где больше дадут )))
• Согласно данным TGStat.ru, в день блокировки Telegram число просмотров в 40 тыс. русскоязычных каналах суммарно выросло на 30 млн. Это примерно на 17% больше, чем в среднем.
• Суммарный прирост подписчиков по всем каналам составил 270 тыс.
Но только тележка не содержит навязчивой рекламы и обросла множеством интересных и качественных каналов.
Только один нюанс — у АНБ в загашниках ключик от него есть.
Те если вы хотите чтобы они вас могли… читать то можете следовать рекомендациям. )
Dual_EC_DRBG — нельзя было взломать, у него стойкость элиптических кривых. Это был бэкдор для обладателя ключа.
Притом я не уверен что оно изначально планировалось как бэкдор для чужих. Вероятно это была отмычка чтобы анб могло среди своих госов спокойно иметь везде доступ без содействия на местах. А дальше все тупо скопировали американский стандарт и стали юзать. Вроде даже где то было написано что нужно менять тот публичный ключ при имплементации и типа то что в стандарте оно как пример. Но тут я не уверен. Точно что оно шло как некий параметр. И точно что его не обязательно было оставлять, потому что ГСПЧ один фиг даёт мусор и типа воспроизводимость не нужна.
Правда сейчас ходят слухи что элиптику научились ломать.
Вот если бы он это не объявил, то ваша статья была бы принята как искренняя забота о конечном потребителе. А так остаётся впечатление что это просто пиар-компания Дурова, причём не бесплатная.
К тому же телега становится токсичной и очень скоро хостеры их выгонят, тому же амазону важнее чтобы остальные клиенты были довольны, а сейчас весь амазон вынесли из за одной телеги. Это плохо для бизнеса.
И всем пофиг.
1. Паша гений пеара. Но ему помогают: если я буду постить такие и по интереснее чатики и новости ни одно СМИ на меня внимания не обратит, а тут каждый чих обсасывается.
2. Телега не безопасна, там нет инноваций. Безопасность телеги не отличается от безопасности аськи и агента, все те же клиент-серверные технологии из 90х.
Сам протокол — кривой и косой, авторы режут и склеивают строки для хеширования и получения ключей, прямо как Денис Попов, вместо использования hmac и kdf, для меня одно это много говорит.
sha1_a = SHA1 (msg_key + substr (auth_key, x, 32));
и в новом так же
msg_key_large = SHA256 (substr (key, 88+x, 32) + plaintext + random_padding);
Они так же как апач и другие приложили dh_prime, и не отозвали, хотя вот только недавно было что апач и кое где нгинх положили в пакеты везде один и тот же dh_prime, в результате чего анб могло вложится и просчитать заранее параметры и потом довольно быстро всё вскрывать благодаря заранее проведённым расчётам.
Про митм и говорить смысла нет, всё держится на доверии серверам телеги. Приходит тебе приглашение в секретный чат а откуда ты знаешь что публичный ключ в приглашении тот самый который тебе отправил друг?
Это концептуальная проблема которая до сих по не имеет красивого решения. Одно решение это третья сторона, которой доверяют — центры сертификации. Другое сети доверия, когда все друг с другом ключами обмениваются в реальной жизни — пгп и иже с ним.
А тут о проблеме и её решении ни слова.
3. ИМХО ситуация с телегой готовилась сильно заранее, к «выборам».
ЦА — активная молодая часть населения тут, и всякие фрики-ватники-параноики там.
После «выборов» ничего не было, но подвернулись другие два повода от которых нужно было отвлечь внимание и суд быстренько принял решение, которое никто не стал обжаловать и спектакль перешёл от вялого пеара (бокса по переписке) к активной фазе от которой у многих бомбит.
4. Где то читал что Паша и Усманов чуть ли не друзья.
Усманов это вк, одноглазники, мылору, аська.
5. А никто не задавался вопросом: почему Паше сходит с рук такое поведение?
Почему у него и его друзей, родственников и партнёров тут не возникают никакие неприятности, обыски и изъятия не проводят?
6. Типа конкуренты.
Сигналу я точно так же не верю, хотя там собрались реальные криптографы.
Как минимум в сигнале опять всё идёт через их сервера и тебя в любой момент могут отключить, не говоря о том, что информация кто с кем, когда и сколько переписывался тоже ценная, даже знания о содержании.
Пользуюсь токсом, там хотя бы тебя никто связи не лишит и ключи требовать не от кого, как и блочить нечего.
Месенгеры использующие номер телефона — презираю, это шаг назад к телефонной эпохе, гнилой насквозь и насквозь контролируемой.
Оффлайновые то события важнее были, там люди погибли, а тут такой шум из за заурядного месенгера.
Я тут писал, вспомнил про скайп.
Там же точно такой же пеар был одно время.
Мол вот полиция франции/италии/испании никак не могла подслушать и поймать котико-боронов которые говорили только по скайпу. Скайп невозможно взломать и подслушать…
А теперь там п2п выпилили и оно под крылом АНБ, наверняка они в МС деньги засылают на содержание, потому что я очень сомневаюсь что такой сервис можно окупить.
С моей точки зрения любая компрометация и блокировка централизованного сервиса — это огромный плюс, может хоть до кого то дойдёт.
Любой большой централизованный сервис это зло, ибо он начинает лезть в политику, а политика в него.
Не удивлюсь если какой нибудь гитхаб лет через 5-10 начнёт выкидывать пользователей из неугодных стран.
И тп.
Не должно так быть что:
— тебя подслушивают все кому не лень
— тебя могут оставить без связи когда захотят
— тебе навязывают о чём можно говорить а о чём нельзя
Я конечно понимаю что пользуясь сайтом я в гостях, но это не идёт на пользу обществу, общество должно саморегулироваться, если мне не нравится чьёто мнение то это повод для пополнения моего личного игнор листа а не глобального.
В общем это всё приводит к п2п месенгерам, социалкам и прочему.
Притом он уже есть, но ВСЕ стараются про них не упоминать.
У нас: вам не нравится агент, аська — тогда используйте телеграм, он такой безопасненький.
У них: вам не нравится вайбер, вацап, тогда пользуйтесь сигнал, его делали известные криптографы, там всё секурненько.
А персональные коммуникации это вообще тема привлекающая людей с отклонениями в психике. Просто нормальные люди не стараются всеми способами подслушивать других а то и вообще цензурировать.
Добавить комментарий