Telegram сообщил Роскомнадзору о невозможности передачи ФСБ ключей шифрования Статьи редакции
- Юрист Telegram Павел Чиков опубликовал письмо компании к ФСБ, где передача ключей называется «технически невозможной».
- В компании объяснили, что сообщения из секретных чатов не хранятся на серверах Telegram.
- Данные из обычных чатов хранятся в зашифрованном виде, но одна из частей каждого ключа хранится только на устройстве пользователя.
- 20 марта Роскомнадзор обязал Telegram передать ключи шифрования в течение 15 дней. 29 марта ФСБ подготовило приказ о выдаче ключей мессенджерами в течение 10 дней после получения запроса.
0
показов
17K
открытий
Такое ощущение, что разыгрывается сценка детского спектакля. И режиссёр нам всем известен.
Мне вообще интересно как подобные события становятся новостью. Т.е. телеграм сам пишет в различные СМИ "напишите про нас статейку, что нас потыкало ФСБ чтобы мы передали им ключики от чЯтиков пользователей, но мы, такие хорошие, показали им фигу и сказали нифига. Любите нас!"🙄
Потому что зная опыт других privacy-focused компаний, те обычно использут warrant canary (свидетельство канарейки), и вся информация публикуется на их собственном сайте.
В телеграме же прямо чувствуется как они продавливают идею, как они, одни единственные, не прогинаются под требования властей, мужественно отбиваясь от их нападок, что конечно, вызывает всенародную любовь, как к единственному оставшемуся защищенному мессенджеру.
С моей точки зрения, нет никаких доказательств что они НЕ делают этого. В СМИ можно пустить любую информацию, вплоть до полета Дурова на Марс опередив Маска. Но... Кто проверит?🤷♀️
В криптосреде их шифрование вообще вызывает массу вопросов, т.к. на сколько понимаю, они написали какую-то свою реализацию шифрования, вместо использования проверенных и надежных алгоритмов.
Как ни странно, люди верят.
Считают ТГ самым безоопасным мессенджером.
Т.е. все это работает.
Да насрать вообще, удобнее всего из тех, что популярны на рынке.
Про удобство в точку, но они упирают именно на защищенность своего мессенджера, возникает вопрос - зачем?
Вы технарь или гуманитарий? Если технарь - идите и прочитайте спецификации mtproto 2.0 и перестаньте постить чушь. Если гуманитарий - извините, что побеспокоил.
Вы чихнули, будьте здоровы
Дальше, вы, как можно понять из комментария, технарь со стальными яйцами, иначе бы так авторитетно не давили своим мнением. А если так, то должны были понять из этой информации: https://en.wikipedia.org/wiki/Telegram_(messaging_service)#Security
что мое сообщение никак не противоречит официальным данным.
Ваш mtproto был написан Колей Дуровым, который хоть и хороший математик и программист, но ни грамма не криптограф. Никакого анализа mtproto проведено небыло и утверждать что он надежен никто не может.
Даже тот же Signal Protocol ковыряли несколько раз, а кто-то ковырял mtproto? Не слышал. Всякие конкурсы от телеграмма не в счет.
Ну ок. Телеграм небезопасен. Написан не криптографами. Аудитория - 200млн аккаунтов. Присутствует программа вознаграждений для специалистов по безопасности. Но что-то я не слышал, чтобы кого-то с 2013 года вознаградили за найденный эксплойт. А желающих получить 100-200к $ я думаю, что не мало. Аудит протокола, на сколько я помню проводили 3 или 4 раза, 2 из которых специалисты по безопасности из MIT (в 2015 и 2017 годах).
Там же про конкурсы - если лень открыть, я процитирую:
"...Конкурс безопасности
Давайте сначала разберемся с этим самым конкурсом (https://telegram.org/crypto_contest), о котором так много трубили в новостях.
Брюс Шнайер, главный офицер по безопасности в IBM еще в далеком 1998 году написал статью с заголовком «Ловушка конкурсов по взлому» (оригинал:
https://www.schneier.com/crypto-gram/archives/1998/1215.html, перевод: https://habrahabr.ru/post/206738/). Статья рекомендуется к прочтению целиком, но в двух словах ее смысл можно попытаться выразить таким образом: конкурсы нечестны по своим условиям, которые не соотносятся с возможными условиями реальной атаки;
— Анализ никак не контролируется, поэтому если никто не выиграл конкурс, это означает лишь, что никто не выиграл конкурс;
— Вознаграждения в конкурсах редко являются стимулом, т.к. большинство компаний-спонсоров соревнований малоизвестны, и люди не верят, что судейство будет честным. Да и победа в конкурсе, конечно, не гарантирована:
— Кто-то может вас обойти, оставив вас без вознаграждения за всю вашу работу. Криптоаналитики скорее готовы анализировать системы, где им платят за саму их работу по анализу, или где они смогут опубликовать статью, объясняющую их результаты;
— Рабочее время криптоаналитика стоит довольно дорого, а гарантии оплаты выигрыша в конкурсе никогда нет, так зачем человеку жертвовать своим временем ради пиар-акции компании?
— Успешное прохождение объектом такого конкурса не дает гарантии, что в нем нет дыр. Настоящей мерой надежности можно считать лишь общий объем проведенного анализа, а не то, проводился или нет конкурс. А анализ — процесс долгий и трудный. Люди доверяют криптографическим алгоритмам (DES, RSA), протоколам (Kerberos), и системам (PGP, IPSec) не из-за конкурсов, но благодаря годам (даже десятилетиям) взаимного рецензирования и анализа. И анализировались эти алгоритмы не из-за неуловимого приза, а потому, что были интересны или широко использовались.
— Найденную уязвимость можно попытаться продать дороже, чем предлагает компания.
Тем не менее Telegram так горды проведением своего конкурса и куда только возможно успели распихать новости, что у них никто не нашел уязвимостей."
один раз вознаградили кстати. там реально был баг позволяющий дешифровать сообщения. Проблема в другом они не открывают код серверной части - а без нее обмен ключей - это такая не сильно безопасная продцедура так скажем. Но можно поменятся ключами в офляйне
специалисты по безопасности из MIT имели какие-нибудь претензии в ходе своего аудита к вотсапу или сигналу?