> По данной ситуации, напомню, изначально было хадатайство ФСБ о предоставлении доступа к переписке с шести конкретных номеров телефонов конкретных подозреваемых в терроризме.
иными словами, изначальное требование было заведомо технически невыполнимо. просто в силу того факта, что у телеграмм нет ключей шифрования пользователей. они хранятся на устройстве пользователя, а клиент телеграмм не имеет возможности их куда-то пересылать. подтверждением чему является открытый исходный код клиентской части, который публикуется с самой первой версии.
> Суд ходатайство принял, доступ предоставить разрешил.
неясным только остался один вопрос, а как это сделать физически?
> Не вообще всех, не твою переписку с любовницей просили, а террористов.
единственный способ предоставлять ключи - это в будущих версиях клиента телеграмм реализовать соответствующую закладку, которая позволяла бы тырить ключи шифрования с устройства любого пользователя. одновременно с этим пришлось бы закрыть исходный код (иначе эту закладку можно будет отключить). иными словами телеграмм должен был бы стать мессенджером с закрытым исходным кодом, который может заниматься на устройстве пользователя чем угодно и тырить что попало с какими угодно целями.
> Т.н. сквозное шифрование применяется в телеграме, в отличе от того же вотсапа, только в секретных чатах.
т.е. вопрос о получении ключей шифрования от секретных чатов не стоит?
> Я надеюсь, ты лично сам изучал исходный код телеграма, чтобы хоть что-нибудь про него утверждать?
я вполне полагаюсь на сообщество программистов, у которого есть стимул исследовать исходный код телеграмм на уязвимости как в виде интереса, так и в виде 300 000 баксов призового фонда за найденную уязвимость. здесь можно, кончено, поставить вопрос - а достаточно ли безопасно так полагаться? это вопрос степени доверия. но если утверждается, что возможность стырить ключ с устройства пользователя действительно есть - то такие утверждения нужно подкреплять ссылкой на конкретный кусок кода.
> Я правильно понимаю, что ты, или хоть кто-нибудь из вижжащих а этом топике
а кто-то визжит? вроде общение в спокойной тональности проходит. или это тебя так сильно раздражает отличное от твоего мнение, что ты собственное психологическое состояние проецируешь на собеседников?
> Если нет, то я тебя обрадую - ты нихрена не знаешь, что конкретно делает телеграм на твоем устройстве. Потому что - открою невероятный секрет - разместить на гитхабе можно одно, а скомпилировать совсем другое. Если ты, конечно, понимаешь, о чем я говорю.
я понимаю, о чём ты говоришь. обычный пользователь вряд ли обладает такими навыками программирования, чтобы самостоятельно проанализировать каждую строку кода, самостоятельно убедиться в том, что исходник компилируется именно в то, что можно скачать и т.д.
но вот обсуждается что? степень надёжности телеграмм или то, что телеграмм не отдаёт ключи шифрования? сам телеграмм утверждает, что у него нет такой технической возможности.
если такая возможность есть, то почему никто до сих пор не ткнул в тот кусок кода, который за это отвечает? почему телеграмм не уличили по фактам в том, что предоставляемый ими исходный код компилируется во что-то иное и отличное от того, что может скачать обычный пользователь?
и опять же, это вопрос насколько декларируемая безопасность обеспечивается или вопрос того, а чё они ключи шифрования не отдают?
> А каким образом технически можно доказать что скомпилированный бинарник из Аппстора на 100% идентичен функционально тому что собралось у тебя на машине из исходников? Без ёрничества, серьёзно спрашиваю.
скомпилировать и сравнить. в случае расхождений в каких-то кусках - найти и объяснить их природу. (согласен, разбираться в уже скомпилированном - это отдельный уровень, но кул хацкеры умеют как-то в коде копаться без исходников).
> Вообще мы когда-то для одного заказчика делали модифицированный клиент телеграма под Андроид. Там всё просто, берёшь исходник, дорабатываешь как тебе надо, собираешь, выкладываешь в Гугл Плей. Получившийся код, согласно лицензионному соглашению, должен быть открыт. > Работало нормально всё.
однако вы же выкладывали не как официальную сборку?
в любом случае, если телеграмм утверждает, что он никакие ключи с устройства пользователя забирать не может, то тут два варианта - доверять или не доверять как пользователю.
но если утверждается, что он-таки может передавать ключи шифрования, то этому должны быть конкретные разоблачающие доказательства.
однако хакеры на практике ухитряются раз за разом ломать программы и выпускать пиратки. хотя явно им никто исходников не даёт.
(кстати, одно из соображений из которых я отказался в своё время от ломанного софта - кто знает, что ещё они туда могли понапихать?)
> Явно не больше чем создатели. :)) Вотт эти действительно могли понапихать чего угодно и хрен ты об этом когда узнаешь. :)
скажем так, когда я покупаю какой-нибудь ArtRage с официального сайта, я меньше боюсь каких-то срытых гадостей, нежели качать пиратку с торрентов, в которой третьи лица поковырялись.
> Возник конфликт "дайте - не дадим". Есть судебное решение. Так предоставь техническую документацию спецам кровавой_гэбни™, чтобы они удостоверились
открытый код в свободном доступе. что ещё они могут предоставить?
насколько я понимаю, самому Дурову насрать на каких-то отдельных пользователей (тем более если они террористы), но основной маркетинговой фишкой его мессенджера является повышенная защищённость. и отступиться от этого - значит всё просрать вообще. в этом смысле ему рациональней отказаться от российского рынка, чем публично пойти на какие-то уступки.
Сейчас, сейчас
иными словами, изначальное требование было заведомо технически невыполнимо. просто в силу того факта, что у телеграмм нет ключей шифрования пользователей. они хранятся на устройстве пользователя, а клиент телеграмм не имеет возможности их куда-то пересылать. подтверждением чему является открытый исходный код клиентской части, который публикуется с самой первой версии.
> Суд ходатайство принял, доступ предоставить разрешил.
неясным только остался один вопрос, а как это сделать физически?
> Не вообще всех, не твою переписку с любовницей просили, а террористов.
единственный способ предоставлять ключи - это в будущих версиях клиента телеграмм реализовать соответствующую закладку, которая позволяла бы тырить ключи шифрования с устройства любого пользователя. одновременно с этим пришлось бы закрыть исходный код (иначе эту закладку можно будет отключить). иными словами телеграмм должен был бы стать мессенджером с закрытым исходным кодом, который может заниматься на устройстве пользователя чем угодно и тырить что попало с какими угодно целями.