Дуров отреагировал на заявления Птасека, ответив ему, что Telegram никогда не сохраняет сообщения в текстовом формате и что при удалении они исчезают навсегда: «Вам платят за публикацию чуши?», — спросил Дуров.
Птасек сказал, что ничего не говорил об удалении сообщений.
Другой специалист по безопасности из проекта Open Crypto Audit Project Кенн Уайт заявил в своем твите, что все гарантии безопасности Telegram сводятся к надежде компании на то, что ее базы данных не будут взломаны:
Эдвард Сноуден поддержал Птасека, сообщив, что использование Telegram является опасным и что приложению требуется серьезное обновление.
В следующем твите он пояснил: важно то, что незашифрованный текст сообщений доступен для сервера или поставщика услуг, а не то, что Telegram его сохраняет.
Дуров ответил Сноудену, что люди, которые не доверяют Telegram или которым не нужна облачная синхронизация, могут использовать секретные чаты.
В беседе с vc.ru Дуров также отметил, что пользователь сам делает выбор: если человеку нужна синхронизация между устройствами и он доверяет Telegram, то использует облачные чаты, если же у него нет необходимости в синхронизации или доверия к сервису, то он использует секретные чаты (те, в которых история сообщений не сохраняется).
В ноябре 2015 года Сноуден сообщил, что в качестве мессенджера использует Signal для Android.
Я чего-то не понимаю, сервер же посредник между двумя пользователями, это же не p2p мессенджер. К чему тут Сноуден говорит "is *accessible*". Он по любому будет accessible, он же посредник, видит всё что шлют пользователи, все ключи и сообщения. Есть ли возможность сделать что бы он бы не accessible?
Signal, за который так активно топит Сноуден, именно что P2P без возможности синхронизации между устройствами.
Не нашел на их сайте и в описании приложений, что сообщения передаются посредством P2P.
Я вижу путаницу у народа в P2P. P2P больше знакомо от торрент клиентов, например, когда данные передаются от пользователя к пользователю на прямую, минуя сервер. НО! когда говорится о P2P шифровании, имеется в виду не как эти данные передаются, а то что сообщение шифруется на одной стороне и расшифровывается только на другой, эти сообщения все также проходят через сервер, но сервер не имеет ключа для расшифровки этих данных. Вероятно, правильнее говорить end-to-end шифрование, т.к. термин P2P относится к одно ранговым пиринговым сетям.
Если кому интересно, или кто говорит, что все равно же ключи передаются через сервер, как это он не имеет доступ, то почитайте о шифровании с открытым ключом, есть видео где объясняют на пальцах. Например, я здесь выкладываю коробку и открытый замок, но ключ от замка только у меня, любой из вас может взять эту коробку положить туда сообщений, закрыть моим замком и отдать мне, никто кроме меня не сможет открыть эту коробку, т.к. только у меня (закрытый) ключ, а открытый ключ это коробка и не защелкнутый замок.
Для полной защиты этого не достаточно, потому что, кто-то другой может заменить здесь, положенную мною, мою коробку и мой замок на свой. Вы кладете сообщение закрываете коробку, защелкиваете замок, отдаете мне, эту коробку на почте перехватывают, открывают своим ключем, читают сообщение, кладут в мою коробку, закрывают моим замком и доставляют мне. Это mitm атака называется. Поэтому, прежде чем класть в коробку надо убедиться, что это действительно моя коробка. Здесь, затрудняюсь объяснить это на пальцах. Кратко говоря, в телеграмме в секретных чатах есть визуализация ключа, картинка с квадратиками, вот сравнивая ее, можно убедиться, в этом, но, сравнивать надо отправляя не через этот же чат, а в живую или через другие способы связи, т.к. на данном этапе вы хотите подтвердить, что конечный источник действительно тот самый человек, а не промежуточный на почте, к примеру.