Послушав и почитав множество СМИ о Telegram, волосы встают дыбом от слов экспертов, которые дают свои комментарии. После 20 минут прослушивания свежей передачи Точка на Эхе с заголовком «Цифровое сопротивление» пришлось закатить глаза и выпить литр кефира, чтобы привести разум в нормальное состояние. Картина в СМИ и соцсетях раскрашена всеми цветами радуги.
Федеральные СМИ не освещают ситуацию с Telegram или освещают её нейтрально. Образ господина Дурова освещается строго нейтрально. Потому что аудитория этих СМИ никакого интереса для реализуемого проекта Telegram не представляет, а негативный фон от этой аудитории будет плохо влиять на другую важную для проекта аудиторию.
Подавляющее большинство условно независимые СМИ поддались течению масс и обожествляют образ господина Дурова (как нового борца и праведника). «Дурова в президенты! Он спаситель нашей страны! Telegram — самый технологичный мессенджер с защитой конфиденциальности переписки»! Твинки/боты вступили в бой в соцсетях для защиты от любых нападок на Telegram и на новый образа господина Дурова.
Шифрование. Сквозное шифрование, его плюсы и минусы.
Эти боты действуют один в один, как те, что используются системой пропаганды в России. Сам Дуров делает заявления, которые ещё больше подкрепляют его образ независимого борца и праведника. Они пропитаны такой наивностью, что не поверить им нельзя. Люди в экстазе запускают бумажные самолёты. Тут крыша поедет даже у людей с иммунитетом к пропаганде. Кого надо любить, кого ненавидеть, во что верить…
Хоть правильнее в этом случае было бы занять сторону сильных, потому что пытаться убедить того, кто сам хочет, чтобы их обманули — это очень неблагодарное занятие. Но все заслуживают шанса. Я постараюсь упростить трактовку технической части, чтобы даже те, кто свободно может цитировать целые части «Преступление и наказание» Федора Михайловича Достоевского, могли понять суть, но не потерять детали.
Давайте попробуем ответить на следующие вопросы:
- Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах?
- Если имеет, может ли он изменять содержимое сообщений при передаче в секретных чатах по своему усмотрению?
- Если имеет, может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)?
- Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников?
- Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям?
- [ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать?
- [ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится?
Протокол обмена сообщениями в секретных чатах Telegram называется MTProto, он обеспечивается так называемое сквозное шифрование (End-to-End Encryption). Первый и самый главный этап обмена сообщения между пользователями — это генерация общего для пользователей базового ключа шифрования. Для этого используется протокол Диффи — Хеллмана. В дальнейшем этот базовый секретный ключ используется для шифрования сообщений с помощью алгоритма AES.
Давайте рассмотрим его принцип при общении Ани и Бори относительно Telegram.
Аня придумывает два случайных числа g и p, соответствующие определённым критериям. Она их ни от кого не скрывает. Дополнительно Аня придумывает очень больше число a, никто другой его знать не должен. По формуле g_a = gᵃ mod p (возведение g в степень a и вычисление остатка от деления на p) Аня вычисляет ещё одно число g_a, которое она ни от кого не скрывает. Числа g, p, g_a она даёт Боре.
Боря придумывает очень большое число b, никто другой его знать не должен. По формуле g_b = gᵇ mod p Боря вычисляет ещё одно число g_b, которое он ни от кого не скрывает, и даёт его Ане.
У Ани есть числа: g, p, g_a, g_b и секретное a. У Бори есть числа: g, p, g_a, g_b и секретное b.
Теперь у Ани и Бори есть одинаковое число key, которое вычисляется по формуле key = g_bᵃ mod p = g_aᵇ mod p, и которое знают только они.
Это есть общий секретный ключ — основа всей системы шифрования в Telegram. Этот ключ в дальнейшем используется Аней и Борей для шифрования и расшифровки сообщений с помощью алгоритма AES.
Описанный протокол Диффи — Хеллмана достаточно надёжен с одним условием — не должно быть между Аней и Борисом посредника, который может менять передаваемые числа. Вся коммуникация между собеседниками в сервисе Telegram происходит только через серверы Telegram. Аня и Борис живут далеко друг от друга. В игру вступает Тегран (сервер Telegram), который взялся доставлять сообщения между Аней и Борисом. Но благие намерения являются лишь предлогом (предположим этом).
Аня даёт Теграну числа (она их ни от кого не скрывает): g, p, g_a. Тегран придумывает очень больше число ta и вычисляет по формуле g_ta = gᵗᵃ mod p ещё одно число g_ta. Он передаёт его Ане. Тегран придумывает очень больше число tb и вычисляет по формуле g_tb = gᵗᵇ mod p ещё одно число g_tb.
Он передаёт Борису g, p, g_tb. По формуле g_b = gᵇ mod p Боря вычисляет ещё число g_b, которое он ни от кого не скрывает, и даёт его Теграну, чтобы он передал его Ане. Но Тегран не передаёт это число Ане. Теперь у Теграна есть два секретных ключа key_a и key_b, с помощью которых он может читать и изменять зашифрованную переписку Ани и Бориса.
А у Ани и Бориса поддельные ключи Теграна. Например, Аня даёт письмо Теграну, чтобы он передал его Боре. Тегран расшифровывает письмо, используя ключ key_a. Делает с содержимым, что угодно. Зашифровывает письмо обратно с помощью ключа key_b и отдаёт письмо Боре.
Пример:
| Аня | Тегран | Боря |
| p = 23 | p = 23 | p = 23 |
| g = 5 | g = 5 | g = 5 |
| a = 6 | ta = 7, tb = 8 | b = 9 |
| g_a = 8 | g_ta = 17, g_tb = 16 | g_b = 11 |
| key_a = 12 | key_a = 12, key_b = 8 | key_b = 8 |
Быть посредником постоянно для всех секретных чатов — это гарантия дискредитации и очень большая нагрузка на серверы Telegram. Но на стороне сервера всегда можно дождаться момента нового запроса на создание секретного чата и войти посредником. Или инициировать отмену секретного чата, чтобы собеседники создали новый.
Собеседникам (в официальных клиентах Telegram для iOS и Android) при каждом новом секретном чате нужно по дополнительному каналу связи вручную сравнивать визуальную часть общего ключа, чтобы удостовериться в их идентичности. В официальных клиентах после отмены сессии секретного чата ключи удаляются, и сверить их в будущем уже нельзя (при этом отмена сессии может быть инициирована со стороны сервера Telegram). Важный нюанс состоит в том, что хоть и исходный коды официальных клиентов опубликованы, нет никаких гарантий, что те версии, опубликованные в App Store и Google Play, не манипулируют отображением визуальной части общего секретного ключа клиента (о таких гарантия читайте в ответах на вопросы) в определённых сессиях.
Имеет ли сервер Telegram формальную возможность получить доступ к содержимому сообщений в секретных чатах? Да. При этом секретный ключ клиентов сессии будет разный. В какой из сессий секретных чатов это может произойти, предугадать невозможно, и зависит только от решения на стороне сервера Telegram.
Может ли сервер Telegram изменять содержимое сообщений по своему усмотрению? Да. Т.к. у сервера Telegram могут находится два общих секретных ключа для обоих собеседников, сервер Telegram может вносить любые изменения в передаваемые сообщения.
Может ли сервер Telegram хранить секретную переписку пользователей (в расшифрованном виде)? Да. Что автоматически следует из ответа на самый первый вопрос.
Может ли сервер Telegram инициировать секретный чат, подменив собой одного из собеседников? Да. Сервер Telegram в любой момент может инициировать секретный чат между собой и любым собеседником. При этом второй собеседник (реальный, от лица которого выступает Telegram) о происходящем не будет знать, если его не оповестить по независимому от Telegram каналу.
Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие действия со стороны Telegram позволят исключить такую возможность в качестве доказательства потребителям? Telegram предоставляет исходный код клиентов, но не предоставляет исходный код сервера. Есть два возможных варианта доказательства заботы о конфиденциальности переписки своих клиентов:
- Предоставить исходный код сервера Telegram (как это делает Signal), чтобы при необходимости группы людей или компании, которые хотят гарантированной конфиденциальности, могли использовать свои проверенные версии сервера и клиентов Telegram на своём оборудовании. В этом случае за конфиденциальность отвечают только эти группы людей и компании. Все другие могут спокойно продолжать пользоваться официальными клиентами и официальным сервером, если вопрос конфиденциальности переписки для них не актуален.
- Создать центр сертификации с открытым исходным кодом и добавить возможность его использования в клиентах. Это просто программа, которую группы людей или компании могут развернуть на любом своём сервере. Например, вы используете проверенный на бэкдоры клиент Telegram, собранный из исходных кодов теми, кому вы доверяете. В настройках этого клиента вы добавляете адрес центра сертификации, своё учётную запись и корневой сертификат этого центра. В этом случае вы спокойно можете продолжать пользоваться официальным сервером Telegram (его исходные коды не нужны, он вообще не используется для связи с центром сертификации). А все секретные чаты визуально отмечаются небезопасными до тех пор, пока у обоих собеседников не подключён один и тот же центр сертификации, который подтвердит идентичность ключей обоих собеседников.
[ОФФТОПИК] Если возможность получить доступ к содержимому сообщений в секретных чатах у сервера Telegram есть, какие причины у компании Telegram вообще это делать? Причины кроются в самой личности Павла Дурова и становлении проекта Telegram. Всё со ссылками на заявления и публикации в СМИ детально расписано Павлом Ивановым вот в этом материале. (нет смысла его пересказывать, просто отстранитесь от того, что вы знаете о Павле Дурове, от его навязанного образа, и вдумчиво прочитайте).
[ОФФТОПИК] Что за ад происходит с ковровыми блокировками, и когда это закончится? Действует ли ведомство Жарова напрямую, или его используют вслепую — это не важно. Почему до сих пор не удалена программа Telegram из App Store и Google Play Store — это не важно. Почему до сих пор не заблокированы серверы push-уведомлений Google и Apple — это тоже не важно.
Закончится всё ровно тогда, когда очередные новости о действиях Роскомнадзора больше не будут являться инфоповодом как в России, так и за рубежом. Т.е. наступит определённое насыщение — основная масса людей, которую можно было бы убедить, что проект Telegram является оплотом свободы, техническим совершенством и обеспечивает полнейшую конфиденциальность переписки, уже будет убеждена.
Источник: www.ixbt.com
Ключи шифрования Телеграм: передал ли их Дуров
FAQ
Автор fast12v0_steleg На чтение 4 мин Просмотров 873 Опубликовано 04.05.2020
Telegram уже сейчас стал символом эпохи начала XXI века из-за противостояния его создателя Павла Дурова с российскими органами власти, которые пытались подавить свободу слова, запретив мессенджер в РФ. Главной интригой событий начала 2018 года стал вопрос, отдал ли Телеграм ключи шифрования или нет. В чем состояла суть конфликта и чем он окончился, уже стало известно широкой публике.
Шифрование в Telegram
Уникальность Telegram заключается в децентрализованной системе сквозного двухфакторного шифрования данных. Каждое сообщение шифруется после отправления, отсылается на локальный центр (без участия головного узла) и повторно дешифруется при получении адресатом.
Для чтения любого письма постоянно генерируются новые ключи, которые удаляются примерно каждые 10 минут (восстановить их уже не удастся). Во время пути сообщения от одного пользователя к другому оно хранится только на внутреннем облаке Telegram, доступ к которому затруднен даже у команды разработчиков.
Важно! Этот же принцип шифрования сообщений Telegram используется для звонков, голосовых сообщений, групповых чатов, закрепов в избранном и т. п., чтобы нельзя было отследить частные данные отправителя.
По словам разработчиков, перехватить переписки просто невозможно. Они были настолько в этом уверены, что объявили конкурс на $1 млн долларов: столь внушительный джекпот достанется тому, кому удастся взломать переписки самого Дурова.
До сих пор не объявился ни один умелец, чего не сказать о прямом конкуренте Whatsapp, который часто участвует в скандалах о сливе персональных данных пользователей в общий доступ (в США это явление уже стало обычным).
Конфликт Павла Дурова и ФСБ
Изначально конфликт Павла Дурова начинался с ФСБ, а не с Роскомнадзором, как думают многие. Именно ФСБ наложило требование, чтобы Дуров отдал ключи от Телеграм.
Суть противостояния
Конфликт начался с расследования теракта в петербургском метро 3 апреля 2017 года. По данным следователей, согласование деталей взрыва бомбы в подземке происходило именно в мессенджере Telegram между шестью террористами.
ФСБ потребовало от Дурова, как от директора компании Telegram LLC, отдать переписки преступников, привязанные к шести телефонным номерам, а также любое техническое оснащение, необходимое для полного дешифрования сообщений.
В свою очередь Павел наотрез отказался, сославшись на конституционную неприкосновенность частной жизни.
Затем в рамках антитеррористической политики пакета Яровой ФСБ снова принудило Павла Дурова отдать ключи шифрования, только теперь от всех переписок пользователей сразу. При невыполнении обязательств Telegram обещали заблокировать на территории РФ.
Компромисс
Дуров сразу отказался выполнять предъявленные требования. В судебном порядке 19 марта 2018 года на работу мессенджера был наложен запрет, который вступил в силу 15 дней спустя по факту непередачи ключей шифрования Телеграм (обмен должен был быть осуществлен в пределах этого срока).
4 апреля 2018 года было заблокировано более 1 млн IP-адресов, которые принадлежали не только Телеграмму, но еще и Amazon, Ozon, Google и т. д. Блокировка не увенчалась успехом, мессенджер обнаружил перебои в работе всего на пару часов и до сих пор успешно функционирует.
Политика обеих сторон, разработчиков Telegram и российских властей, по поводу друг друга остается такой же. Конфронтация стихла, однако официального примирения и признания гениального изобретения так и не последовало.
Важно! В середине 2019 г. представители Роскомнадзора пытались оправдаться, что блокировка распространялась только на определенную группу каналов с террористическим контентом. Однако общей картины это не исправило.
В апреле 2018 г. поступок Дурова приобрел всемирный резонанс. Множество американцев, французов и других представителей развитых стран начали устанавливать Telegram, чем моментально подняли его рейтинг в Google Play и App Store.
Состоялась ли передача ключей шифрования
Телеграм шифрование так и осталось недоступно для российских властей. По словам Дурова, передавать ключи шифрования сообщений просто невозможно, поскольку постоянно генерируются новые, они удаляются и нигде не хранятся в качестве архивных данных.
В таком случае передача ключей по умолчанию означала бы подарить ФСБ сам мессенджер, его принцип и алгоритм работы. В дальнейшем Телеграмм не планирует включать органы власти в свою работу.
Продуманность Телеграм изначально была настолько высокой, что он продолжает использоваться до сих пор несмотря на политические и социальные гонения. В этом-то и заключается совершенство технологии, обеспечивающей свободу слова и неприкосновенность прав каждой личности.
Детальная информация видна на видео:
Источник: stelegram.ru
Безопасность и точка: Как защитить свой аккаунт в Telegram
Часто сталкиваетесь с проблемой защиты своих данных в сети Internet? Telegram является одним из немногих приложений, кто заботится о конфиденциальности своих пользователей. Как известно, мессенджер не передает данные третьим лицам, что позволяет пользоваться им без рисков.
Итак, какие меры защиты существуют и как их установить в Telegram, мы расскажем вам далее. В Telegram встроена довольно сложная и надежная система шифрования личных данных пользователей. И нам предоставляется несколько способов защиты своих данных как на смартфонах, так и на ПК. Таким образом, мы можем создать код-пароль/ Touch ID, включить двухэтапную аутентификацию или воспользоваться секретным чатом.
Код-пароль или Touch ID
- Войти в приложение Telegram;
- Открыть Меню, которое обозначено тремя линиями в левом верхнем углу экрана;
- Выбрать пункт «Настройки», затем «Конфиденциальность»;
- Далее под шапкой «Безопасность» выбрать «Код-пароль»;
- Затем нажать «Включить код-пароль»;
- В появившемся окне необходимо придумать четырехзначный пароль, затем повторить комбинацию цифр;
- Следующий шаг: добавить отпечаток пальца для разблокировки. Для этого переключить ползунок.
- Также можно установить время автоблокировки от 1 минуты до 5 часов или вовсе отключить ее. Если отключить автоблокировку, то необходимо блокировку приложения включать самостоятельно.
При отключенной автоблокировке управление защитой данных выполняется вручную. После того, как мы установили код-пароль, в мессенджере появится значок с замком, расположенный в правом верхнем углу. Нажимая на данный значок, мы блокируем доступ к приложению. Теперь при каждом выходе из приложения нужно будет нажать на замок. Или использовать «замок» только в важных случаях.
Для установки пароля на iPhone алгоритм тот же, что и для Android. Только у пользователей новых моделей iPhone есть возможность блокировки доступа к сообщениям через Face ID. Принцип работы не отличается от Touch ID.
Если забыли пароль, то нужно лишь удалить и заново скачать приложение Telegram на смартфон, а на ПК версии – выйти и заново авторизоваться через телефон. Есть нюанс в том, что все синхронизированные чаты, кроме секретных, будут восстановлены.
Двухэтапная аутентификация
Установка двухэтапной аутентификации на всех устройствах идентична. Эта защита является более усиленной для безопасности информации от злоумышленников. И требует определенных условий для получения доступа к мессенджеру.
Чтобы установить необходимо:
- Войти в мессенджер, зайти в «Настройки» через Меню;
- Выбрать пункт «Конфиденциальность», далее «Двухэтапная аутентификация»;
- Затем пункт «Задать пароль» и нужно ввести придуманный пароль в поле, при желании можно добавить «Подсказку», если есть вероятность забыть пароль;
- К тому же для того, чтобы не потерять и не забыть пароль можно еще добавить «Электронную почту».
Теперь при каждом входе на новом устройстве мессенджер будет запрашивать код из SMS для авторизации и также дополнительный пароль, который мы придумали.
Секретный чат
Использование сквозного шифрования подразумевает передачу данных только между собеседниками, сам Telegram не имеет доступа к этим данным. И в связи с этим содержимое секретного чата не сохраняется на серверах мессенджера. Поэтому при удалении приложения или выходе из него все созданные секретные чаты исчезают без возможности восстановления.
Для создания необходимо:
- Зайти в чат с собеседником;
- Открыть профиль собеседника;
- Нажать на три точки в верхнем правом углу;
- В открывшемся меню выбрать пункт «Начать секретный чат»;
- Далее для автоудаления сообщений можно выбрать опцию «Включить удаление по таймеру». Тем самым переписка будет очищаться через некоторое время. Например, через одну секунду или через одну неделю.
Стоит учитывать, что если время удаления сообщений поставлено через 10 сек, то голосовые сообщения записанные дольше, чем на 10 сек, не будут прослушаны до конца.
Сквозное шифрование доступно на iOS, Android и macOS, а для Windows «секретные» чаты не поддерживаются, так как нет надежности в обеспечении безопасного хранения переписки на устройстве.
Теперь вы под защитой! Приятного и безопасного пользования мессенджером Telegram.
Источник: linkbaza.com