У меня тут состоялся довольно интересный диалог, в ходе которого мне пришлось изучить множество статей и официальных документов по поводу ситуации с #Telegram. Оказалось, что практически все существующие новости основаны на вранье пиар-команды Дурова.
По факту события развивались следующим образом:
1. ФСБ подозревает 6 конкретных человек в причастности к террористической деятельности. Они честно обращаются в суд. Суд разрешает получить доступ к переписке этих пользователей.
2. ФСБ отправляет запрос в Телеграм: vk.cc/7RQsYt
Обратите внимание, в этом запросе указаны только 6 номеров и конкретные номера судебных решений, согласно которым этот запрос является законным. Так что все, кто говорит, что никакого разрешения суда не было и этот запрос был личной инициативой ФСБ - либо врут, либо не разобрались в ситуации.
3. Телеграм просто игнорирует этот запрос.
4. Начинается суд, в котором юристы Телеграма сначала несут ахинею о том, что они вообще не получали никаких запросов. Когда выясняется, что это не так - начинают говорить, что предоставление переписки является нарушением Конституционных прав этих пользователей.
Конституция гласит, что на основании судебного решения право на тайну переписки может быть ограничено. Судебное решение было, так что со стороны ФСБ все абсолютно законно. Телеграм вполне справедливо проигрывает и получает штраф в 800 тысяч рублей.
5. Пиарщики Телеграма начинают истеричное откровенное вранье о том, что ФСБ требует абсолютно все ключи абсолютно всех пользователей. По факту ничего такого ФСБ не требует, речь всегда шла только об этих шести номерах.
Вывод: никакого нарушения закона не было. Никаких нарушений Конституции тоже. Дуров в очередной раз пропизделся и блокировка мессенджера будет абсолютно обоснованной. СМИ просто понесли в массу полную чушь и это мало чем отличается от ютубовских долбоебов, которые до сих пор продолжают рассказывать о 300 трупах в Кемерово.
Жду не дождусь, когда за публикацию недостоверной информации все эти Лентачи и Медузы начнут получать жесткие штрафы.
[censored]
а теперь вопрос. как телеграмм должен был предоставить доступ к этой переписке, если ключ шифрования хранится на конечном устройстве пользователя, а телеграмм со своей стороны не имеет к нему доступа? тут только один вариант - переписать код клиента так, чтобы иметь возможность этот ключ свободно забирать. что автоматом переводит телеграмм из разряда защищенного мессенджера в разряд дырявой хренотени с закладками. иными словами репутация множится на ноль. так что для Дурова логично пусть потерять российский рынок, но не потерять всё.
вот только у клиента телеграмма открытый исходный код, доступный для изучения всем желающим.
так что вставлять закладки, которые бы ключи передавали - проблематично и категорически рискованно для репутации мессенджера.
Ну, если так, то так. Но, насколько мне известно, в цитадели демократии все коммерческие шифры изначально выпускаются на рынок с уязвимостями, позволяющими АНБ иметь доступ к любому зашифрованному материалу. И ничего - цитадель стоит, демократия из неё так и прёт, никто не бузотёрит, что свобода слова нагло попирается тоталитарным режимом.
Если всё так, как ты описываешь - то такое средство не должно попадать в обращение. В смысле - если у ФСБ не будет доступа к переписке. Это - аксиома. При том, что в нонешнюю винду встроен кейлоггер, который шпарит все нажатия на клавиши в телеметрию, а Майкрософт, как законопослушная компания, естественно, обязана предоставлять АНБ любые данные по запросу, то все эти новомодные мессенджеры - дерьмовая иллюзия, предназначеная единственно для того, чтобы стимулировать идиотов откровенничать в подобных "защищённых" каналах. Уверен, что у Яблока - примерно та же фигня.
То есть получается, что спецслужбы США имеют возможность разворачивать на нашей территории свои диверсионные сети, одной из главных проблем которых, как всегда, является связь, вооще легально и без палева. А когда наше ФСБ пытается контролировать свою же поляну - начинается дикий вой по поводу нарушенных прав. Ну это как раз понятно, кто там заказывает этот вой.
А если серьёзно, то ничего секурного из хоть как-то популярных мессенджеров нет. Поэтому ничего того, что ты хотел бы скрыть, сообщать по ним не надо. Ну либо использовать что-то своё, тот же жабер
Джаббер использует те же самые алгоритмы шифрования, соответственно, если считать, что они уязвимы, то и сообщения в джаббере так же точно расшифровываются.
Проблема ещё и в том, что правительствам люди массово не доверяют, соответственно, если признать факт сотрудничества - люди побегут. Пример эппл показателен, они тоже заявили, что расшифровать данные на устройстве не могут - и не стали этого делать
> А у сервера? А что такое атака man-in-the-middle?
атака man-in-the-middle (MITM) - это атака, при которой в обмен сообщениями между A и B тем или иным способом вклинивается третья сторона C и выдаёт себя за B для A, и за A для B.
тем самым получая переписку (а возможно и видоизменяя её).
но на этот случай предусмотрена защита даже для тех, кто не доверяет и самому сервису телеграмм.
если вкратце, то при создании секретного чата A и B с помощью протокола Диффи - Хеллмана с помощью закрытых ключей A и B генерируется общий ключ.
таким образом, стороне C придётся сгенерировать два общих ключа для A - C и C - B соответственно. которые будут друг от друга отличаться, потому как в их генерировании будет участвовать закрытый ключ C.
клиент телеграмм на основе общего ключа генерирует графическое изображение identicon (которое не является прямой интерпретацией общего ключа, а вычисляется на основе него).
далее собеседники A и B должны обменяться identicons используя любые другие способы (не через сам телеграмм, а в самом идеале при личной встрече в оффлайне) и сравнить их.
если использована атака man-in-the-middle, то изображения будут отличаться.
конечно, этот способ требует некоторых отдельных усилий со стороны пользователей, если они хотят убедиться, что между ними никто не вклинился.
подробнее у них в FAQ.
>> так что вставлять закладки
> Они есть.
> но на этот случай предусмотрена защита даже для тех, кто не доверяет и самому сервису телеграмм.
> если вкратце, то при создании секретного чата A и B с помощью протокола Диффи - Хеллмана с помощью закрытых ключей A и B генерируется общий ключ.
> таким образом, стороне C придётся сгенерировать два общих ключа для A - C и C - B соответственно. которые будут друг от друга отличаться, потому как в их генерировании будет участвовать закрытый ключ C
Протокол Диффи — Хеллмана отлично противостоит пассивному нападению, но в случае реализации атаки «человек посередине» он не устоит.
Это прям в вики написано. Верующие в секурность даже до вики дойти не могут?
> например какие? в каких строках исходника?
В исходниках сервера.
Ладно бы я ещё понял, если бы на месте мудака дурова был бы Столлман, он вроде как своим поведением заслужил того, что ему можно доверять в вопросах безопасности личной переписки. Но пашка и закладокфункционал позволяющий читать всех на свете не добавил чтобы торгануть при случае...
> Это прям в вики написано. Верующие в секурность даже до вики дойти не могут?
так называемые "верующие" умеют читать полностью: "В чистом виде алгоритм Диффи — Хеллмана уязвим для модификации данных в канале связи, в том числе для атаки «Человек посередине», поэтому схемы с его использованием применяют дополнительные методы односторонней или двусторонней аутентификации."
каковые дополнительные методы аутентификации в телеграмм и предусмотрены. да, они требуют некоторых отдельных усилий от пользователей, но если они не доверяют и самому телеграмм, то немного пошевелиться придётся. более простых способов не предложено пока.
на сервера попадает зашифрованный по открытым алгоритмам траффик. способ проверки, что сервер не выдаёт себя за собеседника, предложен и реализован.
> Ладно бы я ещё понял, если бы на месте мудака дурова
ну т.е. все обвинения основаны не на каких-то фактах, анализе исходников и т.д., а на основе эмоционального отношения к самому Дурову?
> на сервера попадает зашифрованный по открытым алгоритмам траффик. способ проверки, что сервер не выдаёт себя за собеседника, предложен и реализован.
Но при этом его исходники никто не видел.
faith..... faith never changes...
> ну т.е. все обвинения основаны не на каких-то фактах, анализе исходников и т.д., а на основе эмоционального отношения к самому Дурову?
Т.е. все обвинения основаны на том, что если оно может быть скомпроментировано на сервере, значит оно скомпроментировано. Я уж молчу о том, что вероятность такого события, что все сливают ключи, а дуров один стоит в белом не существует.
в этом нет никакой необходимости. хотя бы из того крайне простого соображения, что каким бы ни был исходник серверной части, проконтролировать, что именно установлено на чужом сервере, к которому у тебя нет доступа, всё равно невозможно. поэтому шифрование и производится клиентом. вот исходники клиентской части необходимы и полезны практически - есть возможность установить, чем именно занимается клиент на твоём устройстве и какие именно данные и в каком формате он отсылает на сервер или принимает от него.
> в этом нет никакой необходимости. хотя бы из того крайне простого соображения, что каким бы ни был исходник серверной части, проконтролировать, что именно установлено на чужом сервере, к которому у тебя нет доступа, всё равно невозможно.
Надо ж тебе, кто бы мог подумать...
> поэтому шифрование и производится клиентом.
> Т.е. все обвинения основаны на том, что если оно может быть скомпроментировано на сервере, значит оно скомпроментировано.
что может быть скомпроментировано на сервере? зашифрованный по открытым алгоритмам траффик?
способ же убедиться, что сервер не выступает в качестве man in the middle, реализован дополнительной аутентификацией. которая да, не совсем удобна для пользователей, но если есть недоверие или опасения, то способ проверить есть.
Полагаю, что "невозможно предоставить ибо ключи бла-бла-бла и т.п." это враньё, т.к. что мешало сразу об этом заявить в ответе чем жеппой вертеть в разные стороны.
ИМХО дуров - гнилой говнюк, как и его продукты
> Полагаю, что "невозможно предоставить ибо ключи бла-бла-бла и т.п." это враньё, т.к. что мешало сразу об этом заявить в ответе чем жеппой вертеть в разные стороны.
сервис телеграм не имеет доступа к закрытым ключам шифрования пользователя. и об этом было заявлено сразу при запуске проекта. в качестве подтверждения этого публикуется открытый исходный код клиентской части, который каждый желающий может исследовать на предмет скрытых закладок. прежде чем что-то полагать, неплохо бы разбираться в сути вопроса.
> ИМХО дуров - гнилой говнюк, как и его продукты
мессенджер, который позволяет третьей стороне изымать ключи шифрования пользователя, как раз и есть гнилой, а не защищенный.
> сервис телеграм не имеет доступа к закрытым ключам шифрования пользователя. и об этом было заявлено сразу при запуске проекта. в качестве подтверждения этого публикуется открытый исходный код клиентской части, который каждый желающий может исследовать на предмет скрытых закладок. прежде чем что-то полагать, неплохо бы разбираться в сути вопроса.
Ай-яй-яй, почему я должен этому верить? Потому что АНБ это подтвердило?
> мессенджер, который позволяет третьей стороне изымать ключи шифрования пользователя, как раз и есть гнилой, а не защищенный.
Вам есть что скрывать от правительства РФ? И где тогда тут гниль?
а это не вопрос веры, это вопрос наличия открытых исходников клиентской части. если клиент телеграма способен отдавать ключи шифрования, то просто ткните в код, который за это отвечает.
а до тех пор это просто эмоции "дуров мне не нравится".
> Вам есть что скрывать от правительства РФ? И где тогда тут гниль?
если бы была реализована такая закладка, которая тырит закрытые ключи пользователя, то вот тут как раз бы и настал момент той самой веры.
какая может быть гарантия, кто, как, и с какими именно целями, будет ей пользоваться? правильно, никакая.
Сейчас, сейчас
По факту события развивались следующим образом:
1. ФСБ подозревает 6 конкретных человек в причастности к террористической деятельности. Они честно обращаются в суд. Суд разрешает получить доступ к переписке этих пользователей.
2. ФСБ отправляет запрос в Телеграм: vk.cc/7RQsYt
Обратите внимание, в этом запросе указаны только 6 номеров и конкретные номера судебных решений, согласно которым этот запрос является законным. Так что все, кто говорит, что никакого разрешения суда не было и этот запрос был личной инициативой ФСБ - либо врут, либо не разобрались в ситуации.
3. Телеграм просто игнорирует этот запрос.
4. Начинается суд, в котором юристы Телеграма сначала несут ахинею о том, что они вообще не получали никаких запросов. Когда выясняется, что это не так - начинают говорить, что предоставление переписки является нарушением Конституционных прав этих пользователей.
Конституция гласит, что на основании судебного решения право на тайну переписки может быть ограничено. Судебное решение было, так что со стороны ФСБ все абсолютно законно. Телеграм вполне справедливо проигрывает и получает штраф в 800 тысяч рублей.
5. Пиарщики Телеграма начинают истеричное откровенное вранье о том, что ФСБ требует абсолютно все ключи абсолютно всех пользователей. По факту ничего такого ФСБ не требует, речь всегда шла только об этих шести номерах.
Вывод: никакого нарушения закона не было. Никаких нарушений Конституции тоже. Дуров в очередной раз пропизделся и блокировка мессенджера будет абсолютно обоснованной. СМИ просто понесли в массу полную чушь и это мало чем отличается от ютубовских долбоебов, которые до сих пор продолжают рассказывать о 300 трупах в Кемерово.
Жду не дождусь, когда за публикацию недостоверной информации все эти Лентачи и Медузы начнут получать жесткие штрафы.
[censored]