Послушав и почитав множество СМИ о Telegram, волосы встают дыбом от слов экспертов, которые дают свои комментарии. После 20 минут прослушивания свежей передачи Точка на Эхе с заголовком «Цифровое сопротивление» пришлось закатить глаза и выпить литр кефира, чтобы привести разум в нормальное состояние. Картина в СМИ и соцсетях раскрашена всеми цветами радуги. Федеральные СМИ не освещают ситуацию с Telegram или освещают её нейтрально. Образ господина Дурова освещается строго нейтрально. Потому что аудитория этих СМИ никакого интереса для реализуемого проекта Telegram не представляет, а негативный фон от этой аудитории будет плохо влиять на другую важную для проекта аудиторию. Подавляющее большинство условно независимые СМИ поддались течению масс и обожествляют образ господина Дурова (как нового борца и праведника). «Дурова в президенты! Он спаситель нашей страны! Telegram — самый технологичный мессенджер с защитой конфиденциальности переписки»! Твинки/боты вступили в бой в соцсетях для защиты от любых нападок на Telegram и на новый образа господина Дурова. Эти боты действуют один в один, как те, что используются системой пропаганды в России. Сам Дуров делает заявления, которые ещё больше подкрепляют его образ независимого борца и праведника. Они пропитаны такой наивностью, что не поверить им нельзя. Люди в экстазе запускают бумажные самолёты. Тут крыша поедет даже у людей с иммунитетом к пропаганде. Кого надо любить, кого ненавидеть, во что верить…
Хоть правильнее в этом случае было бы занять сторону сильных, потому что пытаться убедить того, кто сам хочет, чтобы их обманули — это очень неблагодарное занятие. Но все заслуживают шанса. Я постараюсь упростить трактовку технической части, чтобы даже те, кто свободно может цитировать целые части «Преступление и наказание» Федора Михайловича Достоевского, могли понять суть, но не потерять детали.
Давайте попробуем ответить на следующие вопросы:
- Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах?
- Если имеет, может ли он изменять содержимое сообщений при передаче в секретных чатах по своему усмотрению?
- Если имеет, может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)?
- Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников?
- Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям?
- [ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать?
- [ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится?
Протокол обмена сообщениями в секретных чатах Telegram называется MTProto, он обеспечивается так называемое сквозное шифрование (End-to-End Encryption). Первый и самый главный этап обмена сообщения между пользователями — это генерация общего для пользователей базового ключа шифрования. Для этого используется протокол Диффи — Хеллмана. В дальнейшем этот базовый секретный ключ используется для шифрования сообщений с помощью алгоритма AES.
Давайте рассмотрим его принцип при общении Ани и Бори относительно Telegram.
Аня придумывает два случайных числа g и p, соответствующие определённым критериям. Она их ни от кого не скрывает. Дополнительно Аня придумывает очень больше число a, никто другой его знать не должен. По формуле g_a = gᵃ mod p (возведение g в степень a и вычисление остатка от деления на p) Аня вычисляет ещё одно число g_a, которое она ни от кого не скрывает. Числа g, p, g_a она даёт Боре.
Боря придумывает очень большое число b, никто другой его знать не должен. По формуле g_b = gᵇ mod p Боря вычисляет ещё одно число g_b, которое он ни от кого не скрывает, и даёт его Ане.
У Ани есть числа: g, p, g_a, g_b и секретное a. У Бори есть числа: g, p, g_a, g_b и секретное b.
Теперь у Ани и Бори есть одинаковое число key, которое вычисляется по формуле key = g_bᵃ mod p = g_aᵇ mod p, и которое знают только они.
Это есть общий секретный ключ — основа всей системы шифрования в Telegram. Этот ключ в дальнейшем используется Аней и Борей для шифрования и расшифровки сообщений с помощью алгоритма AES.
Описанный протокол Диффи — Хеллмана достаточно надёжен с одним условием — не должно быть между Аней и Борисом посредника, который может менять передаваемые числа. Вся коммуникация между собеседниками в сервисе Telegram происходит только через серверы Telegram. Аня и Борис живут далеко друг от друга. В игру вступает Тегран (сервер Telegram), который взялся доставлять сообщения между Аней и Борисом. Но благие намерения являются лишь предлогом (предположим этом).
Аня даёт Теграну числа (она их ни от кого не скрывает): g, p, g_a. Тегран придумывает очень больше число ta и вычисляет по формуле g_ta = gᵗᵃ mod p ещё одно число g_ta. Он передаёт его Ане. Тегран придумывает очень больше число tb и вычисляет по формуле g_tb = gᵗᵇ mod p ещё одно число g_tb. Он передаёт Борису g, p, g_tb. По формуле g_b = gᵇ mod p Боря вычисляет ещё число g_b, которое он ни от кого не скрывает, и даёт его Теграну, чтобы он передал его Ане. Но Тегран не передаёт это число Ане. Теперь у Теграна есть два секретных ключа key_a и key_b, с помощью которых он может читать и изменять зашифрованную переписку Ани и Бориса. А у Ани и Бориса поддельные ключи Теграна. Например, Аня даёт письмо Теграну, чтобы он передал его Боре. Тегран расшифровывает письмо, используя ключ key_a. Делает с содержимым, что угодно. Зашифровывает письмо обратно с помощью ключа key_b и отдаёт письмо Боре.
Пример:
| Аня | Тегран | Боря |
| p = 23 | p = 23 | p = 23 |
| g = 5 | g = 5 | g = 5 |
| a = 6 | ta = 7, tb = 8 | b = 9 |
| g_a = 8 | g_ta = 17, g_tb = 16 | g_b = 11 |
| key_a = 12 | key_a = 12, key_b = 8 | key_b = 8 |
Быть посредником постоянно для всех секретных чатов — это гарантия дискредитации и очень большая нагрузка на серверы Telegram. Но на стороне сервера всегда можно дождаться момента нового запроса на создание секретного чата и войти посредником. Или инициировать отмену секретного чата, чтобы собеседники создали новый. Собеседникам (в официальных клиентах Telegram для iOS и Android) при каждом новом секретном чате нужно по дополнительному каналу связи вручную сравнивать визуальную часть общего ключа, чтобы удостовериться в их идентичности. В официальных клиентах после отмены сессии секретного чата ключи удаляются, и сверить их в будущем уже нельзя (при этом отмена сессии может быть инициирована со стороны сервера Telegram). Важный нюанс состоит в том, что хоть и исходный коды официальных клиентов опубликованы, нет никаких гарантий, что те версии, опубликованные в App Store и Google Play, не манипулируют отображением визуальной части общего секретного ключа клиента (о таких гарантия читайте в ответах на вопросы) в определённых сессиях.
Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах? Да. При этом секретный ключ клиентов сессии будет разный. В какой из сессий секретных чатов это может произойти, предугадать невозможно, и зависит только от решения на стороне сервера Telegram.
Может ли сервер Telegram изменять содержимое сообщений по своему усмотрению? Да. Т.к. у сервера Telegram могут находится два общих секретных ключа для обоих собеседников, сервер Telegram может вносить любые изменения в передаваемые сообщения.
Может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)? Да. Что автоматически следует из ответа на самый первый вопрос.
Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников? Да. Сервер Telegram в любой момент может инициировать секретный чат между собой и любым собеседником. При этом второй собеседник (реальный, от лица которого выступает Telegram) о происходящем не будет знать, если его не оповестить по независимому от Telegram каналу.
Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям? Telegram предоставляет исходный код клиентов, но не предоставляет исходный код сервера. Есть два возможных варианта доказательства заботы о конфиденциальности переписки своих клиентов:
- Предоставить исходный код сервера Telegram (как это делает Signal), чтобы при необходимости группы людей или компании, которые хотят гарантированной конфиденциальности, могли использовать свои проверенные версии сервера и клиентов Telegram на своём оборудовании. В этом случае за конфиденциальность отвечают только эти группы людей и компании. Все другие могут спокойно продолжать пользоваться официальными клиентами и официальным сервером, если вопрос конфиденциальности переписки для них не актуален.
- Создать центр сертификации с открытым исходным кодом и добавить возможность его использования в клиентах. Это просто программа, которую группы людей или компании могут развернуть на любом своём сервере. Например, вы используете проверенный на бэкдоры клиент Telegram, собранный из исходных кодов теми, кому вы доверяете. В настройках этого клиента вы добавляете адрес центра сертификации, своё учётную запись и корневой сертификат этого центра. В этом случае вы спокойно можете продолжать пользоваться официальным сервером Telegram (его исходные коды не нужны, он вообще не используется для связи с центром сертификации). А все секретные чаты визуально отмечаются небезопасными до тех пор, пока у обоих собеседников не подключён один и тот же центр сертификации, который подтвердит идентичность ключей обоих собеседников.
[ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать? Причины кроются в самой личности Павла Дурова и становлении проекта Telegram. Всё со ссылками на заявления и публикации в СМИ детально расписано Павлом Ивановым вот в этом материале. (нет смысла его пересказывать, просто отстранитесь от того, что вы знаете о Павле Дурове, от его навязанного образа, и вдумчиво прочитайте).
[ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится? Действует ли ведомство Жарова напрямую, или его используют вслепую — это не важно. Почему до сих пор не удалена программа Telegram из App Store и Google Play Store — это не важно. Почему до сих пор не заблокированы серверы push-уведомлений Google и Apple — это тоже не важно. Закончится всё ровно тогда, когда очередные новости о действиях Роскомнадзора больше не будут являться инфоповодом как в России, так и за рубежом. Т.е. наступит определённое насыщение — основная масса людей, которую можно было бы убедить, что проект Telegram является оплотом свободы, техническим совершенством и обеспечивает полнейшую конфиденциальность переписки, уже будет убеждена.
Источник: www.ixbt.com
Достать все сообщения с публичного чата Telegram
Как спарсить заданное пользователем количество сообщений с публичного чата Telegram? На входе пользователь вводит url чата и количество сообщений которое нужно спарсить. Раньше никогда не работал ни с ботами Телеграм, ни с его АПИ. Как лучше это реализовать? Возможно есть готовые библиотеки для данной задачи?
Отслеживать
13.7k 12 12 золотых знаков 43 43 серебряных знака 74 74 бронзовых знака
задан 7 июл 2017 в 7:25
460 4 4 серебряных знака 11 11 бронзовых знаков
Вот тут http://ebot.one/wiki/index.php/Обработка_ботом_сообщений_группы — Парсинг групп в telegram через бота, может подойдет и для канала, 100% уверенности нет. Но тут платно
24 янв 2018 в 0:16
2 ответа 2
Сортировка: Сброс на вариант по умолчанию
Если нужно парсить с любого рандомного публичного чата, то через Telegram-Bot-API этого не сделать. Потому что бот читает только из чата, куда он добавлен сам.
Для ботов есть только один способ получать сообщения — метод getUpdates получает все сообщения за определенный период, но надо понимать, что в ответ приходит данные по всем чатам и определять нужный придется самостоятельно.
Для понимания как писать именно ботов для Telegram можно почитать вот эту статью — https://netology.ru/blog/bot-php ну или любую другую по запросу telegram бот на php их достаточно много=)
Для того что бы парсить из любого чата, нужно писать свой клиент для Telegram, тогда можно будет использовать метод messages.getHistory()
Нашел реализацию клиента Telegram на PHP — MadelineProto, можно попробовать использовать ее.
Источник: ru.stackoverflow.com
⚡️ Wired: в Telegram нашли уязвимость, которая позволяет читать закрытые чаты
Журналисты Wired в большом расследовании рассказали, что за пользователями Telegram можно следить через API самого мессенджера.
Опрошенные эксперты и инсайдеры утверждают, что разработчики могут читать любые чаты, включая закрытые, которые защищены сквозным шифрованием. При необходимости, они делятся данными с силовыми структурами разных стран.
Отметим, что издание периодически ссылается на Элиса Кампо, якобы бывшего директора по развитию бизнеса и партнерских отношений в Telegram. Ещё давно в Telegram заявляли, что он никогда у них не работал, а был волонтером очень короткий срок.
Как спецслужбы научились читать чаты
Telegram уже долгие годы продвигает API для разработчиков, чтобы те могли получить доступ к некоторым системам мессенджера. Wired утверждает, что в этом API есть лазейка, которую используют спецслужбы.
Кампо, который в настоящее время является сотрудником Citizen Lab, заявляет, что API Telegram позволяет любому пользователю автоматически сохранять и каталогизировать огромное количество общедоступных каналов и групповых чатов . У других платформ такой возможности нет.
Джордан Уайлдон, исследователь аналитического центра, который отслеживает дезинформацию и экстремизм, заявил, что в начале прошлого года они обнаружили одну лазейку. Можно подделать API местоположений Telegram, чтобы найти любого пользователя в радиусе 3,2 км, если они недавно расшарили свое местоположение.
Как только об этом стало известно, разработчики изменили код. Однако до сих пор можно найти людей по геолокации в радиусе 550 метров. Уайлдон отметил, что всё ещё можно читать сотни миллиардов текстов по всему мессенджеру, несмотря на то, что Telegram всячески пытается пресечь эту деятельность.
Журналистам Wired неоднократно рассказывали, как полиция разных стран (включая Россию) находила людей с помощью «телеги». Причем она знала о любом передвижении человека.
Закрытые чаты тоже не защищены
Исключением не стали и закрытые чаты. По заверениям создателей, такие чаты защищены сквозным шифрованием и безопасны до тех пор, пока ваш смартфон не окажется у постороннего в руках. Однако издание приводит цитаты людей, которые лично замечали, что их сообщения читал кто-то, но не получатель.
Они замечали, что когда выходят из секретного чата, сеанс все равно помечался как «открытый», а сообщения все еще могли прочитать. В теории, это невозможно: каждый чат получает уникальный ключ шифрования, который исчезает после окончания сеанса. Чтобы продолжить разговор, пользователям необходимо начать новый чат и получить новый ключ.
На все вопросы о том, как вообще возможно подобное, представители Telegram в очередной раз сообщили Wired, что никогда не передавала личные данные силовым структурам России. Сам Павел Дуров отказался от комментариев.
Проверить нельзя
В Wired не имеют доступа к инструментам Telegram и не нашли человека, который мог бы подтвердить хотя бы факт чтения открытых переписок. Кампо официально не работал в компании, так что и к его словам стоит относиться скептически.
(23 голосов, общий рейтинг: 4.65 из 5)
Хочешь больше? Подпишись на наш Telegram.
Журналисты Wired в большом расследовании рассказали, что за пользователями Telegram можно следить через API самого мессенджера. Опрошенные эксперты и инсайдеры утверждают, что разработчики могут читать любые чаты, включая закрытые, которые защищены сквозным шифрованием. При необходимости, они делятся данными с силовыми структурами разных стран. Отметим, что издание периодически ссылается на Элиса Кампо, якобы бывшего директора по.
Артём Баусов
Источник: www.iphones.ru